使用用户输入作为 key_name 是否安全？

Question

我想使用用户在 Web 表单中输入的字符串作为键名的一部分：

user_input = self.request.POST.get('foo')
if user_input:
  foo = db.get_or_insert(db.Key('Foo', user_input[:100], parent=my_parent))

这样安全吗？或者我应该做一些廉价的编码或散列？如果有，是哪一个？

Answer 1

只要您不关心恶意用户用垃圾填满您的数据库，这就是安全的。 get_or_insert 不会让他们覆盖现有条目，只需添加新条目即可。

确保限制它的长度（无论是在 UI 中还是在它被接收之后），即使你没有对其进行其他验证，所以至少他们不能只是给你疯狂的大密钥来填满数据库快速或使您的应用崩溃。

编辑：您刚刚评论说您确实验证了它是一个合理的密钥。在那种情况下，是的，它是安全的。

请记住，用户可能仍然可以根据您对他们提供的内容做出响应所花费的时间来确定您的数据库中已经存在哪些密钥，并且您仍然需要确保他们已获得授权查看他们请求的任何内容，或将其限制为少量请求，因为他们无法暴力检索与您生成的密钥相关联的所有信息。