当数据保存在某人的 iPhone 和云上的远程数据库之间时,我总是对 SQL 注入(inject)攻击采取预防措施。

但是是否也有必要做同样的事情......当只是将数据(使用sqlite)从某人的手机保存到他们自己手机上的数据库时?

他们能做的最坏的事情是什么?在自己的手机上删除自己的数据(或表格)?
(如果他们真的足够努力。)

谢谢。

最佳答案

  • 有必要吗? - 是的,它是“必要的”,即它可能值得。即使您不太关心这种上下文中的安全性(这可能是有效的),您也应该担心正确性(至少,它的骄傲问题)。
  • 可能发生的最坏情况是什么?
  • 用户 #1 Patty O'Brian 将她的名字输入到一个字段中,该字段混淆了 SQL 调用,但它失败了。程序要么不能很好地处理它,要么用户收到一条关于失败原因的模糊错误消息。
  • 用户#2 输入一个名称来混淆 SQL 调用并且它成功了!该程序现在处于未知状态。

  • 无论哪种方式,现在用户联系支持并消耗时间和精力(用户 #2 从不承认他们做了什么,这使得调试变得更加困难)和/或要求退款。

    关于sql - 在你自己的 iPhone 上防止 sqlite 注入(inject)攻击?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/2649094/

    10-13 04:07