内容简介:我正在为我的(基于rails的)api服务器构建一个基于令牌的认证库,它使用redis来存储生成的auth令牌.我担心的是:user_id = $redis.get(“auth:#{token}”),其中token是传递给authenticate_or_request_with_http_token的内容.如果这是SQL,那将是一个巨大的红旗 – 字符串插值SQL查询是非常不安全的.然而,据我所知,在redis密钥查询上进行字符串插值并不安全.我上面提到的声明的源代码是redis文档:
我正在为我的(基于rails的)api服务器构建一个基于令牌的认证库,它使用 redis 来存储生成的auth令牌.我担心的是:user_id = $redis.get(“auth:#{token}”),其中token是传递给authenticate_or_request_with_http_token的内容.
如果这是SQL,那将是一个巨大的红旗 – 字符串插值 SQL 查询是非常不安全的.然而,据我所知,在redis密钥查询上进行字符串插值并不安全.
我上面提到的声明的源代码是redis文档: http://redis.io/topics/security (在字符串转义和nosql注入标题下),但我想确保在我获得Bobby Tables攻击之前就是这种情况.
The Redis protocol has no concept of string escaping, so injection is impossible under normal circumstances using a normal client library. The protocol uses prefixed-length strings and is completely binary safe.
翻译自:https://stackoverflow.com/questions/22023538/is-it-possible-to-run-a-string-injection-attack-on-a-redis-query
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 关于读取popen输出结果时未截断字符串导致的命令行注入详解
- 查找一个字符串中最长不含重复字符的子字符串,计算该最长子字符串的长度
- (三)C语言之字符串与字符串函数
- 算法笔记字符串处理问题H:编排字符串(2064)
- 如何在JavaScript中检查字符串是否包含子字符串?
- 字符串、字符处理总结
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
像计算机科学家一样思考Python (第2版)
[美] 艾伦 B. 唐尼 / 赵普明 / 人民邮电出版社 / 2016-7 / 49.00
本书以培养读者以计算机科学家一样的思维方式来理解Python语言编程。贯穿全书的主体是如何思考、设计、开发的方法,而具体的编程语言,只是提供了一个具体场景方便介绍的媒介。 全书共21章,详细介绍Python语言编程的方方面面。本书从基本的编程概念开始讲起,包括语言的语法和语义,而且每个编程概念都有清晰的定义,引领读者循序渐进地学习变量、表达式、语句、函数和数据结构。书中还探讨了如何处理文件和......一起来看看 《像计算机科学家一样思考Python (第2版)》 这本书的介绍吧!
在线进制转换器
各进制数互转换器
RGB HSV 转换
RGB HSV 互转工具