使用Google App Engine时需要解决哪些安全问题？

我一直在考虑将Google App Engine用于一些业余爱好项目.虽然他们不会处理任何敏感数据,但我仍然希望让他们相对安全,原因有很多,比如学习安全,合法等等.

使用Google App Engine时需要解决哪些安全问题？

它们是否与其他应用程序(如用其他语言编写或以其他方式托管的应用程序)面临的问题相同？

编辑:我做了一些搜索,看起来我需要清理XSS和Injection的输入.还有什么需要考虑的事情？

1> bobince..：

---

"清理"输入不是避免查询注入和标记注入问题的方法.在输出阶段使用正确的转义形式是...或者更好的是,使用更高级别的工具为您处理它.

因此,为了防止针对GQL的查询注入,请使用GqlQuery的参数绑定接口.为防止对HTML进行标记注入(导致XSS),请使用您正在使用的任何模板语言的HTML转义功能.例如,对于Django模板,|escape...或者更好,{% autoescape on %}所以你不会意外错过一个.

---

实际上,即使你的代码相当可怕,GQL注入攻击也几乎是不可能的,因为攻击者只能在SELECT语句中添加额外的标准.这并不是说你不应该使用参数绑定,但它不像SQL那样严重.

---

嗯,当然,取决于你在做什么,不是吗？如果你让人们提交链接,你最好检查URL是一个已知良好的方案,如`http`而不是`javascript` ...如果你允许文件上传你最好保存在一个安全的名称和不是用户提交的...不要从主主机名提供用户提交的文件...不要在`system`命令或`eval`等等中使用用户提交的数据