firebase中的SQL注入
Firebase是一个noSQL数据库,其工作方式与SQL不同,那么我们如何清理数据呢?例如,即使在firebase文档中,我似乎也找不到firebase数据库的mysqli_real_escape_string命令。有人能给我一些建议吗?如果有人能给我一个论坛链接,我将不胜感激。渴望了解这一点:>谢谢Firebase实时数据库(和Firestore)不易受到SQL注入攻击 首先,了解什么是SQL注入攻击很有帮助。请阅读以帮助理解。请注意,使用SQL注入,根本问题是开发人员编写代码时必须生成SQL命令才能运行,并且攻击者可以微妙地修改生成(如果执行不正确)以执行他们想要的操作 使用Firebase,您不需要构建SQL命令(或任何由需要转义的各个部分组成的字符串命令)来执行查询。相反,您使用SDK提供的API,并传递由API自动管理的字符串。这意味着SQL注入在这里不是问题。没有SQL注入是因为没有SQL(毕竟是noSQL!)firebase中的SQL注入,firebase,firebase-realtime-database,Firebase,Firebase Realtime Database,Firebase是一个noSQL数据库,其工作方式与SQL不同,那么我们如何清理数据呢?例如,即使在firebase文档中,我似乎也找不到firebase数据库的mysqli_real_escape_string命令。有人能给我一些建议吗?如果有人能给我一个论坛链接,我将不胜感激。渴望了解这一点:>谢谢Firebase实时数据库(和Firestore)不易受到SQL注入攻击 首先,了解什么是SQL注入攻击很有帮助。请阅读以帮助理解。请注意,使用SQL注入,根本问题是开发人员编写代码时必须生成SQ
确保最终用户对数据的访问权限不超过他们的权限,您需要使用Firebase身份验证,并实现描述谁有权访问哪些数据的功能。Hi,感谢您的回复:D我知道Firebase是json格式,不需要任何SQL语句。但是,攻击者是否可以使用firebase命令从firebase提取数据?也许他们会在文本框var.on('value',snap=>div.innertext=snap.val())??我对firebase还不是很熟悉,所以我希望我不是在问一个愚蠢的问题,但再次感谢您向我解释:>您所描述的并不是SQL注入。您需要采取自己的预防措施,以确保恶意脚本不会改变最终用户体验。如果您想确保最终用户对数据的访问权限不超过他们所拥有的权限,则需要使用Firebase身份验证并实施描述谁有权访问哪些数据的安全规则。因此,可以肯定地说,只要我们正确设置规则类型,攻击者就不能破坏firebase数据库(至少在前端,例如网站上)。这些规则由您来定义,是的。