【发布时间】:2013-01-21 11:00:59
【问题描述】:
我们正在构建一个 Web 表单,允许(受信任的)用户输入他们自己的 R 查询。他们将对数据库进行统计分析。
问题:
- 这有多危险,就其基本形式而言?我是 R 新手,所以 - 他们能做的最糟糕的事情是什么? (假设数据库连接是非特权的)。
- 是否有一种简单的方法来清理输入以消除最大的风险?
- 是否有可能对输入进行清理以使我们可以向公众开放?例如,我们不能冒 DOS 攻击的风险。
【问题讨论】:
-
回答问题1。想想
list.files()和system("rm -f *") -
我想我可以以没有任何写权限的用户身份运行 rserve。
-
这是一个关于这个主题的最新且非常相关的R-devel 线程。尤其看看 Simon Urbanek 在谈话结束时的想法。
标签: database r web-applications sanitization