对于SQL注入，差异私有SQL数据库是否相对更安全？

Question

我已经做了一段时间的保安工作了，但我对隐私还比较陌生。我一直在研究差异隐私及其在数据库中的应用。然而，我仍然有点困惑，安全和隐私在哪里交叉。数据库的安全性涉及到保护数据库中存储的数据的机密性、完整性和可用性。然而，隐私只会保护机密。

考虑到这一点，一个不同的私有SQL数据库在SQL注入中会相对更安全吗？

Answer 1

SQL注入的问题不在于如何将数据存储在数据库中，而是在于

1. 查询语言中的语句是代码和数据组合成字符串。
2. 这些语句通常是通过手动组合代码字符串和不受信任的数据字符串来构造的。
3. 不可信数据的不正确验证会导致将这些数据解释为代码，从而导致攻击者注入代码。

所有这些都不能通过使用差别隐私来解决。

相反，它是通过正确地将代码与数据分离来解决的。这可以通过参数绑定来完成，而不是手动将代码和(不受信任的)数据组合到SQL语句字符串中。有关此主题的更多信息，请参见这里。