时间戳

首页 > 解决方案 > 像这样转义 SQL 查询安全吗?

javascript - 像这样转义 SQL 查询安全吗?

问题描述

我目前正在开发一个 NodeJS 后端脚本,该脚本解析传入的 HTTP 请求以写入和读取 MySQL 数据库以进行工作。我试图通过使用一种两层保护来保护它免受 SQL 注入。

要写入数据库,用户需要提供有效的JSON。这就是脚本写入数据库所需的 JSON 键的方式。如果不是,则请求将被取消。

{
    "uuid": "1234-5678-abcd-efgh",
    "product_id": 6,
    "product_extras": "color=red",
    "product_count": 2,
    "buyer_name": "X Y",
    "shipping_address": "XY Street 5"
}

检查此输入的第一层是一个非常基本的黑名单。这里的USER_INPUT变量是上面已经通过验证过程的 JSON。

let BLACKLIST = ["DROP ", "DELETE ", "INSERT ", "UPDATE ", "SELECT ", "WHERE ", "ALTER "];
let dont_execute = false;

for(var i = 0; i < BLACKLIST.length; i++) {   
    if(JSON.stringify(USER_INPUT).toUpperCase().includes(BLACKLIST[i].toUpperCase())) {
        console.log("\x1b[31mreceived blacklisted command - aborting");
        dont_execute = true;
        return false;
    }
}

在该验证之后,如果dont_execute仍然为假,则将调用第二层,因此查询将被转义并发送,如下所示:

// setting.sqlconnection.table_name is equal to "orders" in this case. Also this variable can't be changed or specified by the user. It's pulled from a settings.json file

sql.sendQuery("INSERT INTO " + setting.sqlconnection.table_name + " (uuid, productid, orderid, productextras, productcount, buyername, shippingaddress) VALUES (" + sqlconnection.escape(uuid) + ", " + sqlconnection.escape(parseddata.product_id) + ", " + null + ", " + sqlconnection.escape(parseddata.product_extras) + ", " + sqlconnection.escape(parseddata.product_count) + ", " + sqlconnection.escape(parseddata.buyer_name) + ", " + sqlconnection.escape(parseddata.shipping_address) + ")");





我已经尝试了许多不同的注射方式,例如:

{
    "uuid": "1234-5678-abcd-efgh",
    "product_id": 6,
    "product_extras": "color=red",
    "product_count": 2,
    "buyer_name": "X Y",
    "shipping_address": "');DROP orders;--"
}

就像我预期的那样,它没有起作用,因为首先它是在第一个黑名单层中咳嗽的。但是在禁用它只是为了测试之后,整个 SQL 查询被解释为一个字符串,因为撇号被转义('成为\'),这正是我想要的。据我所知,将与受 SQLI 感染的 JSON 一起发送的查询最终将如下所示:

INSERT INTO orders (guid, productid, orderid, productextras, productcount, buyername, shippingaddress) VALUES ("1234-5678-abcd-efgh", 6, null, "color=red", 2, "X Y", "\');DROP orders--")

但问题是,在向我的老板展示后,他说这不安全,而且它仍然容易受到 SQLI 的攻击。所以我的问题是他是否正确,如果是,我可以做些什么来改进它。




附加信息:
我正在使用 npm 包mysql进行数据库连接
我正在使用 XAMPP 和 MySQL 在本地托管数据库




如果我不能提供更多信息,我很抱歉,但我很确定我不能发布比这更多的东西。

标签: javascriptmysqlsqlnode.jssql-injection

解决方案

拒绝名单方法必然会漏掉一些案例。你需要更多地研究查询是如何形成的,你应该为你的代码编写完整的单元测试,这样任何审查你的代码的人都可以看到你测试了哪些案例。

拒绝名单方法也会得到误报。例如,您似乎无法插入任何包含“DROP”一词的数据。这将阻止一些合法的数据值。

正如上面的评论所建议的,这两个问题都可以通过使用参数化查询来解决。您说您将“看看”使用参数,但您应该将其视为防止 SQL 注入的主要解决方案,而不是任何类型的可选或高级用法。

但是,参数仅用于代替标量值(字符串、数字、日期)。您不能将参数用于表名或列名或其他标识符、SQL 表达式或 SQL 关键字。这些情况可能不太常见,但您的动态表名称中至少有一个示例。

有害输入不仅仅来自用户。它可以来自文件、Web 服务、JSON 文档。它甚至可以来自您自己的数据库!任何可能包含奇怪字符的内容都可能导致 SQL 注入。

SQL 注入不一定是恶意的。它可能只是一个错误,更有可能导致您的 SQL 查询无效,而不是导致数据泄露。

补充参数化查询的解决方案通常是允许列表。例如,如果您想知道配置文件中的表名是否合法,请对照已知表名列表检查它。一些应用程序将其保存在一个常量数组中。一些应用程序查询 INFORMATION_SCHEMA 以获取最新的表列表。

曾经在电子商务数据库中看到名为 的表ORDER吗?这会导致 SQL 变得混乱,因为ORDER它是一个保留字。您应该用反引号分隔表名,以防它们是 SQL 保留字或包含标点符号或空格。

这是在表名周围添加反引号的示例:

sql.sendQuery("INSERT INTO `" + setting.sqlconnection.table_name + "` (uuid, ...

推荐阅读