SigNoz/signoz

Move db calls to prepared statements with context

Open

#1.353 aberto em 4 de jul. de 2022

Ver no GitHub
 (11 comments) (0 reactions) (1 assignee)TypeScript (16.037 stars) (976 forks)batch import
backendgood first issue

Description

Move all db calls to prepared statements and specifically with context if possible to make signoz more secure from sql injections. A query should not be a string prepared from fmt.sprintf(...) if it has args to pass. We should try to avoid string formatting for args.

Guia do colaborador

Pilha de tecnologia
typescriptnodejssql
Domain
backendsecurity
Tipo Issue
security
DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
4
Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
over 1 week
Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
blocked
ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
mostly clear
Prerequisites
TypeScriptNode.jsSQLprepared statements
Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
35
Direção de pesquisa
Examine the repository's database access layer to identify all locations where SQL queries are constructed using string formatting (e.g., fmt.Sprintf). Review the issue comments for specific patterns mentioned by maintainers. Focus on files in the 'pkg' or 'server' directories that handle database operations. Look for existing prepared statement usage to understand the preferred pattern. Consider starting with one module to demonstrate the approach before expanding to the entire codebase.