当我理解它时,JQL在一个名为“高级搜索”的功能中用于挖掘存储在我的Jira DB中的信息。它是一种类似SQL的查询语言。
我可以编写(以后再重用)包含完整JQL查询的URL。例:
即使我没有登录到该服务器,查询也会访问(Jira)服务器的数据库并返回有效的答案。 E. g。如果我针对由Atlassian提供支持的演示Jija解决上面的查询,答案是:
字段“项目”不存在值“PVZ”。
没有发现与您的搜索匹配的问题。尝试登录以查看更多结果
这是一个安全线程吗?如果我允许此功能,是否可以偶然暴露敏感(Jira相关)信息? JQL可以滥用SQL注入吗?我可以为未登录的用户禁用此功能吗?我是否应该为未登录的人禁用此功能?
如果您未登录服务器,则不会执行查询,也不会得到任何结果。除非JIRA实例已经专门设置为允许匿名查看问题,例如jira.atlassian.com
JQL是一种与SQL不同的语言,并且不会遇到我所知道的相同类型的注入风险。
我建议阅读有关JRIA权限方案,特别是Browse Project权限