cartodb SQL de seguridad de la API?

Question

Estoy estudiando CartoDB, y me preguntaba:

¿Hasta qué punto es CartoDB SQL API segura?

Desde su descripción acerca de la autenticación, puede enviar toda la sentencias SQL en la dirección URL anexando el api_key a esto de la siguiente manera.

https://{username}.carto.com/api/v2/sql?q={SQL statement}&api_key={api_key}

Cuando se utiliza en HTML/JavaScript, lo que impide que esta clave de ser visto por los demás y se utiliza para cambiar las tablas (o realizar la inyección de SQL)?

He visto claves de API se utiliza en otros lugares (por ejemplo, Google Map) para contar las visitas y el cobro de tarifas. Pero no entiendo muy bien el concepto de la utilización de claves de API en la dirección URL para la autenticación. ¿Cómo funciona el modelo de seguridad de trabajar aquí? (O ¿cuál es la forma correcta de hacer el trabajo de seguridad?)

Una pregunta relacionada es si CartoDB es instalado y utilizado en una intranet (si es posible), ¿cómo se debe configurar la seguridad de la CartoDB/Postgres instancia?

Answer 1

Clave de la API no está destinado a ser utilizado en el frontend de las aplicaciones, sólo en middleware software bajo un entorno seguro. El uso de su clave de API en una aplicación frontend, incluso POSTE de soporte es de curso muy desanimado, ya que podría exponer a su base de datos a nadie inspeccionar el tráfico.

Consulte la documentación y especialmente en este artículo con respecto a la inyección de SQL.

Por favor enviar su pregunta en un separado el artículo.

Answer 2

Esto no es necesariamente una mejor práctica, pero "dibujar su propio vecindario" proyecto de Nick Martinelli pide la clave de la API (que se coloca fuera de la raíz web) en PHP.

A mi conocimiento, ninguna de las personas (incluido yo mismo) que han implementado su propia copia de este (tal vez 6-10 total) han tenido sus claves de API de forma errónea o sus datos eliminados. El peor que hemos tenido son presentados geometrías que se asemeja símbolos fálicos.