Google App Engine 应用程序是否容易受到 SQL 注入攻击？

Question

由于 App Engine 实际上并不使用 SQL，这是否意味着 App Engine 应用程序不会受到 SQL 注入攻击？

Answer 1

是的，只要您按照将用户输入与 GQL 字符串连接起来的方式进行操作，它们都同样容易受到注入攻击。

但是，如果您遵循 Google 在 GQL 字符串中输入值时使用参数的最佳实践建议，那么您应该可以使用 GQL。因此，

query = GqlQuery("SELECT * FROM Song WHERE composer = 'Lennon, John'")

您可以使用：

query = GqlQuery("SELECT * FROM Song WHERE composer = :1", "Lennon, John")

或：

query = GqlQuery("SELECT * FROM Song WHERE composer = :composer", composer="Lennon, John")

另外，您可以通过使用 查询类来生成查询。

Answer 2

好吧，根据定义，没有 SQL==没有 SQL 注入。 :-)

但是，如果应用程序使用 GQL 并且天真地将字符串文字值粘贴到查询中而不转义，那么您当然可以进行 GQL 注入。这样做造成的损害比某些 SQL 变体要小，这些变体允许您 ; 终止当前查询并在同一字符串中开始新查询，但它仍然存在潜在危险。

不过，GQLQuery 提供简单的内置参数绑定机制（与某些语言的默认库不同...）。因此，确实没有理由仍然将字符串文字填充到查询字符串中。