3

(信頼できる) ユーザーが独自の R クエリを入力できるようにする Web フォームを構築しています。彼らはデータベースに対して統計分析を行います。

質問:

  1. これは、基本的な形でどれほど危険ですか? 私はRが初めてなので、彼らができる最悪のことは何ですか? (データベース接続に権限がないと仮定します)。
  2. 最大のリスクを取り除くために、入力をサニタイズする簡単な方法はありますか?
  3. これを一般に公開できるようになるまで、入力をサニタイズすることは可能ですか? たとえば、DOS 攻撃の危険を冒すことはできませんでした。
4

1 に答える 1

1

上記のコメントと、Josh O'Brien が指摘したメーリング リスト スレッドからのメッセージを組み合わせます。

  1. とても。保護されていない R クエリは、関数を介して、そのプロセスが実行できることは何でも実行できますsystem()
  2. リストから、'system' と 'eval' のクエリを grep すると便利です (ただし、経験豊富な R プログラマーは簡単に回避できます)。sandboxRはこれをさらに一歩進めて、追加のセキュリティを追加します。しかし、リストに載っている専門家は、これさえも簡単に回避できると主張しています。
  3. 今のところ、ノーのようです。おそらく、代わりにホワイトリストを使用して実行できます (つまり、問題のない関数のリストを提供し、それ以外はすべてブロックします)。
于 2013-02-06T21:26:51.720 に答える