阿里云MySQL服务器匹配正则表达式是否会有安全问题?
场景
用户可自定义输匹配内容(ask)和输出(answer),加入阿里云数据库 设置完成后,根据用户输入内容进行正则表达式匹配,找到相应输出
举例
用户添加一条数据库记录 ask=(a+)+$ answer=123
SELECT answer FROM 表名 WHERE 'aaaaaab' REGEXP `ask`
用户输入aaaaaab 输出123
测试结果
不管有几个a,匹配时间始终是3ms
问题
阿里云MySQL是否已经对正则表达式攻击做过一定的防范,是否可以信任用户输入任意正则表达式?
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
1
条回答
写回答
-
技术架构师 阿里云开发者社区技术专家博主 CSDN签约专栏技术博主 掘金签约技术博主 云安全联盟专家 众多开源代码库Commiter
进库之前所有的验证应该服务端完成,数据库不会对数据进行数据校验
2019-11-06 10:16:17赞同 展开评论
问答分类:
相关问答