Warning: file_get_contents(/data/phpspider/zhask/data//catemap/4/r/80.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
在R中,通过从web读取CSV或解析JSON的函数可以进行代码注入吗?_R_Security_Code Injection_Jsonlite_Api Security - Fatal编程技术网
Fatal编程技术网
  • r/
  • 在R中,通过从web读取CSV或解析JSON的函数可以进行代码注入吗?

在R中,通过从web读取CSV或解析JSON的函数可以进行代码注入吗?

r security

在R中,通过从web读取CSV或解析JSON的函数可以进行代码注入吗?,r,security,code-injection,jsonlite,api-security,R,Security,Code Injection,Jsonlite,Api Security,如果Web框架对输入进行了不充分的清理,则很容易出现错误 R进程是否以同样的方式易受“R注入”的影响?也就是说,是否有人(或某些API)可以向导致代码执行的R函数(特别是那些可以从web读取的函数,如read.csv(),jsonline::fromJSON())提供输入 我已经知道了,虽然我还没有在R中发现任何例子 我看到了一些,但请注意,我只对学习可能的R注入(不是SQL注入)感兴趣 在相关情况下,实际用例是一个R函数,它通过jsonlite::fromJSON(),从外部API读取JSON

如果Web框架对输入进行了不充分的清理,则很容易出现错误

R进程是否以同样的方式易受“R注入”的影响?也就是说,是否有人(或某些API)可以向导致代码执行的R函数(特别是那些可以从web读取的函数,如
read.csv()
jsonline::fromJSON()
)提供输入

我已经知道了,虽然我还没有在R中发现任何例子

我看到了一些,但请注意,我只对学习可能的R注入(不是SQL注入)感兴趣

在相关情况下,实际用例是一个R函数,它通过
jsonlite::fromJSON()
,从外部API读取JSON——我希望确保任何JSON数据(有效或格式错误)都不可能在R函数中导致远程代码执行。该函数对SQL没有任何作用,因此我对SQL注入不感兴趣。

如果您不解析和计算任意用户输入(或使用执行此操作的函数),则无需担心。这就是为什么R标记的一些贡献者不断地与使用
eval(parse())
进行斗争的原因之一(尽管还有其他更重要的原因)。如果您不分析和评估任意用户输入(或使用这样做的函数),您就不必担心。这就是为什么R标记的一些贡献者不断地反对使用
eval(parse())
(尽管还有其他更重要的原因)的原因之一。