javascript - 像这样转义 SQL 查询安全吗?
问题描述
我目前正在开发一个 NodeJS 后端脚本,该脚本解析传入的 HTTP 请求以写入和读取 MySQL 数据库以进行工作。我试图通过使用一种两层保护来保护它免受 SQL 注入。
要写入数据库,用户需要提供有效的JSON。这就是脚本写入数据库所需的 JSON 键的方式。如果不是,则请求将被取消。
{
"uuid": "1234-5678-abcd-efgh",
"product_id": 6,
"product_extras": "color=red",
"product_count": 2,
"buyer_name": "X Y",
"shipping_address": "XY Street 5"
}
检查此输入的第一层是一个非常基本的黑名单。这里的USER_INPUT
变量是上面已经通过验证过程的 JSON。
let BLACKLIST = ["DROP ", "DELETE ", "INSERT ", "UPDATE ", "SELECT ", "WHERE ", "ALTER "];
let dont_execute = false;
for(var i = 0; i < BLACKLIST.length; i++) {
if(JSON.stringify(USER_INPUT).toUpperCase().includes(BLACKLIST[i].toUpperCase())) {
console.log("\x1b[31mreceived blacklisted command - aborting");
dont_execute = true;
return false;
}
}
在该验证之后,如果dont_execute
仍然为假,则将调用第二层,因此查询将被转义并发送,如下所示:
// setting.sqlconnection.table_name is equal to "orders" in this case. Also this variable can't be changed or specified by the user. It's pulled from a settings.json file
sql.sendQuery("INSERT INTO " + setting.sqlconnection.table_name + " (uuid, productid, orderid, productextras, productcount, buyername, shippingaddress) VALUES (" + sqlconnection.escape(uuid) + ", " + sqlconnection.escape(parseddata.product_id) + ", " + null + ", " + sqlconnection.escape(parseddata.product_extras) + ", " + sqlconnection.escape(parseddata.product_count) + ", " + sqlconnection.escape(parseddata.buyer_name) + ", " + sqlconnection.escape(parseddata.shipping_address) + ")");
我已经尝试了许多不同的注射方式,例如:
{
"uuid": "1234-5678-abcd-efgh",
"product_id": 6,
"product_extras": "color=red",
"product_count": 2,
"buyer_name": "X Y",
"shipping_address": "');DROP orders;--"
}
就像我预期的那样,它没有起作用,因为首先它是在第一个黑名单层中咳嗽的。但是在禁用它只是为了测试之后,整个 SQL 查询被解释为一个字符串,因为撇号被转义('
成为\'
),这正是我想要的。据我所知,将与受 SQLI 感染的 JSON 一起发送的查询最终将如下所示:
INSERT INTO orders (guid, productid, orderid, productextras, productcount, buyername, shippingaddress) VALUES ("1234-5678-abcd-efgh", 6, null, "color=red", 2, "X Y", "\');DROP orders--")
但问题是,在向我的老板展示后,他说这不安全,而且它仍然容易受到 SQLI 的攻击。所以我的问题是他是否正确,如果是,我可以做些什么来改进它。
附加信息:
我正在使用 npm 包mysql
进行数据库连接
我正在使用 XAMPP 和 MySQL 在本地托管数据库
如果我不能提供更多信息,我很抱歉,但我很确定我不能发布比这更多的东西。
解决方案
拒绝名单方法必然会漏掉一些案例。你需要更多地研究查询是如何形成的,你应该为你的代码编写完整的单元测试,这样任何审查你的代码的人都可以看到你测试了哪些案例。
拒绝名单方法也会得到误报。例如,您似乎无法插入任何包含“DROP”一词的数据。这将阻止一些合法的数据值。
正如上面的评论所建议的,这两个问题都可以通过使用参数化查询来解决。您说您将“看看”使用参数,但您应该将其视为防止 SQL 注入的主要解决方案,而不是任何类型的可选或高级用法。
但是,参数仅用于代替标量值(字符串、数字、日期)。您不能将参数用于表名或列名或其他标识符、SQL 表达式或 SQL 关键字。这些情况可能不太常见,但您的动态表名称中至少有一个示例。
有害输入不仅仅来自用户。它可以来自文件、Web 服务、JSON 文档。它甚至可以来自您自己的数据库!任何可能包含奇怪字符的内容都可能导致 SQL 注入。
SQL 注入不一定是恶意的。它可能只是一个错误,更有可能导致您的 SQL 查询无效,而不是导致数据泄露。
补充参数化查询的解决方案通常是允许列表。例如,如果您想知道配置文件中的表名是否合法,请对照已知表名列表检查它。一些应用程序将其保存在一个常量数组中。一些应用程序查询 INFORMATION_SCHEMA 以获取最新的表列表。
曾经在电子商务数据库中看到名为 的表ORDER
吗?这会导致 SQL 变得混乱,因为ORDER
它是一个保留字。您应该用反引号分隔表名,以防它们是 SQL 保留字或包含标点符号或空格。
这是在表名周围添加反引号的示例:
sql.sendQuery("INSERT INTO `" + setting.sqlconnection.table_name + "` (uuid, ...
推荐阅读
- java - 处理避免 NullPointerException 的链式方法调用 - 哪种方法最好?
- javascript - dart 中的简洁属性
- uefi - 如何从 startup.nsh 退出 UEFI-Shell
- c# - 如何在不更改表单背后的代码的情况下每秒动态更新表单内的子控件?
- javascript - 如何将按钮 innerHTML 设置为图像?(使用 DOM)
- html - Angular 7手动将背景颜色设置为平铺
- python - 如何在odoo 12中按其他列过滤列?
- python - 部署和维护机器学习模型的状态
- javascript - 如何在nodejs passportjs中实现用户角色
- java - 拒绝访问