Ответ 1
Нет. Уровень Thrift, используемый phpcassa, представляет собой структуру rpc, не основанную на синтаксическом анализе строк.
Внедрение NoSQL? (PHP-> phpcassa-> Кассандра)
Кто-нибудь достаточно знаком с движком Cassandra (через PHP с использованием phpcassa lib), чтобы знать, есть ли следствие для вектора атаки sql-injection? Если да, то кто-нибудь принял удар по установлению лучших практик, чтобы помешать им? Если нет, кому бы то ни было; )
Ответы
Ответ 2
Обновление - Cassandra v0.8 представила CQL, который мог бы принести с собой возможность инъекционных атак. Однако:
Подготовленные утверждения были введены в Cassandra v1.1.0, которые помогают предотвратить такие атаки.
Кроме того, см. это сообщение, в котором объясняются особенности CQL, которые делают его устойчивым к инъекции, в том числе:
- каждый запрос CQL должен содержать ровно одно утверждение
- как правило, также отсутствуют типы операторов, которые содержат другие утверждения, которые были бы еще одним общим вектором для инъекции.