我知道处理动态查询的最好方法是使用参数化查询在应用程序层中生成它们,这不是这个问题的内容.所有业务逻辑都在存储过程中.
我有一个存储过程,它接受参数并生成查询,运行它,格式化结果并将其作为一大块文本返回.此函数传递一个表名,列名和WHERE参数.传递给函数的WHERE参数来自用户在数据库中输入的数据.我想确保对stings进行清理,以便构建的查询是安全的.
使用Postgresqls Dollar-Quoted Strings Constants,我应该能够安全地清理除’$$’之外的所有字符串输入.但是,如果我在“$”上执行字符串替换以逃避它,我应该能够进行安全的字符串比较.
存储过程:
function_name(tablename text,colnames text[],whereparam text)--Build dynamic query...
功能调用:
SELECT function_name('tablename',ARRAY['col1','col2','col3'],'AND replace(col1,''$'',''/$'') = $$' || replace(alt_string_col,'$','/$') || '$$')FROM alttableWHERE alt_ID = 123; 查询生成:
SELECT col1,col2,col3 FROM tablename WHERE 1=1 AND replace(col1,'/$') = $$un/safe'user /$/$data;$$
由于我在将其与转义的用户数据进行比较之前逃离了col1字段,即使用户输入了“un / safe’user $$data;”在字段alt_string_col中,双美元符号不会破坏查询并且比较通过.
这是一种在Postgresql存储过程中转义字符串的安全方法吗?
EDIT1
感谢Erwin Brandstetter.使用EXECUTE的USING子句我即将创建一个可以像这样调用的函数:
SELECT function_name( 'tablename',ARRAY[' AND col1 = ',' OR col2 = '],quote_literal(alt_string_col)::text,--Text 1-4 NulL::text,NulL::text,alt_active_col::boolean,--Bool 1-4 NulL::boolean,NulL::boolean,NulL::integer,--Int 1-4 NulL::integer,NulL::integer )FROM alttable WHERE alt_ID = 123;
它为可以传入的WHERE子句提供了一些灵活性.
在存储过程中,我对EXECUTE语句有这样的东西.
FOR results IN EXECUTE(builtquery) USING textParm1,textParm2,textParm3,textParm4,boolParm1,boolParm2,boolParm3,boolParm4,intParm1,intParm2,intParm3,intParm4 LOOP -- Do some stuff END LOOP;解决方法 在连接标识符时使用
quote_ident()来防止sql注入.或postseres 9.1或更高版本中的 format(). 使用plpgsql代码中的USING clause for EXECUTE传递值.或者至少是quote_literal().
要确保存在表名(并且在连接时自动引用并进行模式限定),请使用special data type regclass.
有关使用plpgsql执行动态sql的更多信息:
> PostgreSQL parameterized Order By / Limit in table function
> Table name as a PostgreSQL function parameter
从Postgresql 9.0开始,您还可以使用anonymous code blocks with the DO statement来执行动态sql.
以上是内存溢出为你收集整理的PostgreSQL美元引用的字符串常量来防止SQL注入全部内容,希望文章能够帮你解决PostgreSQL美元引用的字符串常量来防止SQL注入所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)