当我理解它时,JQL用于名为“高级搜索”的功能中。挖掘存储在我的Jira DB中的信息。它是一种类似SQL的查询语言。
我可以编写(以后重用)包含完整JQL查询的URL。示例:
即使我没有登录到该服务器,查询也会点击(Jira)服务器的数据库并返回有效的答案。 E. g。如果我针对由Atlassian提供支持的演示Jija解决上面的查询,答案是:
价值' PVZ'字段'项目'
不存在未发现与您的搜索匹配的问题。 尝试登录以查看更多结果
这是一个安全线程吗?如果我允许此功能,是否可以偶然暴露敏感(Jira相关)信息? JQL可以滥用SQL注入吗?我可以为未登录的用户禁用此功能吗?我应该为未登录的人禁用此功能吗?
答案 0 :(得分:2)
如果您未登录服务器,则不会执行您的查询,也不会得到任何结果。除非JIRA实例已经专门设置为允许匿名查看问题,例如jira.atlassian.com
JQL是一种与SQL不同的语言,不会遇到我所知的相同类型的注入风险。
我建议阅读有关JRIA权限计划,特别是浏览项目权限