V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kisshere
V2EX  ›  Elasticsearch

对于 elasticsearch,需要类似于防 sql 注入那一套代码吗?

  •  
  •   kisshere · 2020-09-21 11:42:50 +08:00 · 5249 次点击
    这是一个创建于 1534 天前的主题,其中的信息可能已经有所发展或是发生改变。

    直接使用$_GET['query']不做任何数据处理,会不会出现 elasticsearch 数据泄露等其他安全问题

    6 条回复    2020-09-21 21:34:02 +08:00
    somalia
        1
    somalia  
       2020-09-21 12:33:04 +08:00
    当然需要
    tsingke
        2
    tsingke  
       2020-09-21 12:45:24 +08:00
    不需要吧,可能是我水平太次,想不到任何注入的例子。
    opengps
        3
    opengps  
       2020-09-21 12:58:06 +08:00
    对于可执行 sql,你必须得防注入,不然好好的 select,通过注入给你带上一段 delete,对你的数据可是毁灭性的
    UserNameisNull
        4
    UserNameisNull  
       2020-09-21 13:11:49 +08:00
    1. es 的 GET 的请求不会造成数据改变,不像 sql 语句 select 被注入后会变成 update delete 等改变数据的 sql 。
    2. 敏感数据,重要数据,不建议放到 es 里面。
    libook
        5
    libook  
       2020-09-21 13:30:49 +08:00
    SQL 的核心用法就是拼接字符串,所以其注入脆弱性是天生的,因为其只做到了语义上的结构化并没有做到格式上的结构化,用法就是拼接 SQL 字符串,所以很容易破坏掉预期的语义结构。JSON(YAML)、XML 等格式因为本身可以很容易对象化,对对象的操作是被限制在对象提供的模式内的,所以天生具备对注入的抗性。

    只要你前后端严格按照 JSON 格式来处理数据,不在序列化后进行字符串拼接,通常不会有注入风险。

    剩下的就是不管用什么都要做好的安全策略,比如限制好查询的数据量避免全库导出。
    fox0001
        6
    fox0001  
       2020-09-21 21:34:02 +08:00
    我们的项目,都用 Solr 做搜索。每周导出搜索记录,都会对着一堆 SQL 注入语句而无奈地苦笑
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1550 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 17:13 · PVG 01:13 · LAX 09:13 · JFK 12:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.