我创建了一个AWS Lambda函数,该函数从RDS(Postgres)获取数据,并通过API网关(url)将其作为json返回。网址接受3个GET参数,这些参数用于根据用户需求过滤数据。
[我的问题是,就想要查看我的数据的开发人员而言,(在诸如SQL注入等攻击方面)共享URL有多安全?想法是使用此基础结构作为临时API替代方案,以收集使用情况反馈。
[我的问题是,就想要查看我的数据的开发人员而言,(在诸如SQL注入等攻击方面)共享URL有多安全?想法是使用此基础结构作为临时API替代方案,以收集使用情况反馈。
[如果您要专门减轻SQL注入,则只需确保您的代码使用parameterized queries。如果要串联字符串以构建SQL查询,则很可能对SQL注入vulnerable。即使使用了字符过滤和转义功能,您仍然经常容易受到SQL注入的攻击,因此,您应确保使用开箱即用的库来支持参数化查询。
根据您的历史记录,您似乎在使用PHP。对于Postgres,PHP具有pg_prepare,可以安全地进行SQL注入:https://www.php.net/manual/en/function.pg-prepare.php