data.stackexchange.com 如何安全地允许查询?

How does data.stackexchange.com allow queries securely?

提问人:Barry Carter 提问时间:3/26/2014 最后编辑:CommunityBarry Carter 更新时间:5/21/2014 访问量:72

问:

https://data.stackexchange.com/ 让我查询一些(全部?) stackexchange 使用任意 SQL 查询的数据/表,包括 参数。

他们使用什么程序来做到这一点,它是否发布?

我想自己创建这样的东西(不同的数据),但是 一直担心我会错过注射攻击或设置 权限不正确。

显然,data.stackexchange.com 已经想出了如何做到这一点 安全。我如何复制他们所做的事情?

这是我之前提出的问题的后续:现有解决方案可以有效但安全地共享数据库数据?

SQL注入 数据资源管理器

评论

0赞 makerofthings7 3/26/2014
如果使用的是 Windows,则可以使用 ODATA (Microsoft WCF) 公开数据,并设置筛选器以动态更改或限制入站查询。
0赞 Adi 3/26/2014
data.stackexchange.com 软件是开源的。看一看 code.google.com/p/stack-exchange-data-explorer
0赞 3/26/2014
@Adnan谢谢!这正是我需要的信息。你能把它变成一个答案,以便我批准它吗?
0赞 Adi 3/26/2014
@barrycarter我很想,但我对我从中获得的代表感觉不太好。
1赞 5/22/2014
@Daniel 没有比谷歌代码已经拥有的任何东西。基本内容似乎是 1) 创建 READONLY 用户(即使这样,也要小心您授予的访问权限),2) 防止注入攻击。我目前的努力/笔记(不是很好): github.com/barrycarter/bcapps/blob/master/bc-run-mysql-query.pl SQLite3 版本运行良好(因为您可以将整个数据库设置为只读,因为它是单个文件):github.com/barrycarter/bcapps/blob/master/...

答: 暂无答案

上一个:Rails 4.2 - 如何正确使用 rails sanitize 来防范跨脚本漏洞

下一个:Hibernate SQL 注入