¿Qué problemas de seguridad deben abordarse al trabajar con Google App Engine?

He estado considerando usar Google App Engine para algunos proyectos de hobby. Si bien no manejarán ningún tipo de datos confidenciales, todavía me gustaría que estén relativamente seguros por varias razones, como aprender sobre seguridad, legal, etc.

¿Qué problemas de seguridad deben abordarse al trabajar con Google App Engine?

¿Son los mismos problemas a los que se enfrentan otras aplicaciones, como las aplicaciones escritas en otros idiomas o alojadas de otras maneras?

Edit: Hice algunas búsquedas, parece que necesito desinfectar la entrada para XSS e inyección. ¿Cuáles son otras cosas a considerar?

La entrada de “desinfección” no es la manera de evitar problemas de inyección de consulta y de inyección de marcado. Usar la forma correcta de escapar en la etapa de salida es … o, mejor aún, usar una herramienta de nivel superior que se encargue de esto por usted.

Entonces, para prevenir la inyección de consultas en GQL, use la interfaz de enlace de parámetros de GqlQuery . Para prevenir el marcado de inyección contra HTML (que lleva a XSS), use la función de escape de HTML de cualquier lenguaje de plantillas que esté usando. Por ejemplo, para las plantillas de Django, |escape … o, mejor, {% autoescape on %} para que no se pierda una accidentalmente.

En general hay los mismos problemas. Además, Google “conoce” su código y, en teoría, puede supervisar todo lo que hace el código. Por lo tanto, es muy difícil si quiere evitar que lean sus datos. Pero no creo que tengan tiempo y recursos para monitorear su código y los datos que se cierran.