有人可以指点我一份关于安全运行部分由用户输入形成的 SQL 查询的初学者指南吗?我正在使用 Java,但语言中性指南也很好。
期望的行为是,如果有人在 GUI 中键入类似
very nice;) DROP TABLE FOO;
数据库应将其视为文字字符串并安全存储而不删除任何表。
Benjamin Confino
问问题
17586 次
5 回答
10
您肯定想使用PreparedStatement。它们很方便。这是一个例子。
于 2009-03-26T22:30:15.377 回答
7
于 2009-03-26T22:27:33.747 回答
5
通常,您不应该创建连接输入的查询,而是使用PreparedStatement。
这使您可以指定将在查询中设置参数的位置,因此 Java 将负责为您清理所有输入。
于 2009-03-26T22:29:36.567 回答
3
准备好的声明?是的,一点没错。但我认为还有一步:在接近数据库之前验证来自 UI 的输入并绑定到对象。
我可以看到在 PreparedStatement 中绑定字符串可能仍会使您容易受到 SQL 注入攻击:
String userInput = "Bob; DELETE FROM FOO";
String query = "SELECT * FROM FOO WHERE NAME = ?";
PreparedStatement ps = connection.prepareStatement(query);
ps.setString(1, userInput);
ps.executeQuery();
我必须承认我自己没有尝试过,但如果这是远程可能的话,我会说 PreparedStatement 是必要的,但还不够。在服务器端验证和绑定是关键。
我建议使用 Spring 的绑定 API。
于 2009-03-26T22:47:16.773 回答
3
您的用户输入实际上必须是"Bob'; delete from foo; select '"(或类似的),因此准备好的语句添加的隐式引号将被关闭:
SELECT * FROM FOO WHERE NAME = 'Bob'; delete from foo; select ''
但是如果你这样做,准备好的语句代码将引用你的报价,这样你就可以得到一个实际的查询
SELECT * FROM FOO WHERE NAME = 'Bob''; delete from foo; select '''
并且您的姓名将被存储为"Bob', delete from foo; select '"而不是运行多个查询。
于 2009-04-03T16:51:40.067 回答