Open ninesunqian opened 5 months ago
我的需求里,某个节点属性是用户输入的字符串,里面很可能有有 match 或其他 nebula graph的查询语句。很容易造成sql注入攻击
通过字符串转义的方式,很难避免。彻底的方式就是查询参数化。
我用的客户端是 nebula-go,我看example code 也没有参数化的例子。通过微信群沟通得知,查询语句可以参数化,但是写入的语句(设置属性,插入节点)还没有参数化支持。我想知道的是这一块有没有计划,什么时候可以支持? 因为安全最重要,所以这一块会影响技术选型。
谢谢!
我的需求里,某个节点属性是用户输入的字符串,里面很可能有有 match 或其他 nebula graph的查询语句。很容易造成sql注入攻击
通过字符串转义的方式,很难避免。彻底的方式就是查询参数化。
我用的客户端是 nebula-go,我看example code 也没有参数化的例子。通过微信群沟通得知,查询语句可以参数化,但是写入的语句(设置属性,插入节点)还没有参数化支持。我想知道的是这一块有没有计划,什么时候可以支持? 因为安全最重要,所以这一块会影响技术选型。
谢谢!