面对Postgresql不安全的一些大胆的主张(同时欢呼MySQL的安全性)我想得到别人的意见:
>“由于多重选择,Postgresql是不安全的” – 我认为`multiselects`是我所谓的’subselects`,但我可能错了.当前的MysqL版本支持子选择,但根据[1],某些库可能不支持或可能已禁用它们.这可能是索赔的原因还是我在这里忽略了什么?
>“sql注入最容易被Postgresql利用” – 恕我直言sql注入是一个应用程序/库问题,只是有效的SQL查询,所以数据库之间没有真正的区别,对吧?!
>“我喜欢Postgresql获得root权限,因为它有很多安全漏洞” – 首先我假设Postgresql的安全跟踪记录与MysqL一样好(在这方面真的找不到多少)?其次以root身份运行Postgresql只是一个愚蠢的想法.或者这有什么有效的吗?
我已经说过Postgresql比MysqL更具安全感(支持角色,更多的身份验证方法……),但数据库本身对应用程序的安全性影响非常小.或者我在这里忽略了任何争论?
[1] Is MySQL more resistant to SQL injection attack than PostgreSQL (under Perl/DBI)?
PS:MysqL和Postgresql都是很棒的产品 – 不需要任何非安全相关的讨论;-)
解决方法:
MysqL_query("SELECT x FROM y; SELECT p FROM q;");
两个单独的查询,一个查询调用.这是经典的sql注入场景,其中用户提供的数据执行与编码器有意的完全不同的查询,例如, Bobby Tables攻击.
MysqL / PHP只能凭借MysqL的驱动程序不允许这样的结构而对此免疫.它仍然完全容易受到子查询注入的影响,但它不会在同一语句中允许两个完全独立的查询.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
