Question

我尝试执行原始SQL查询并根据用户输入安全地通过/ asc / desc传递订单。这是分页数据网格的后端。我不能为我的生活弄清楚如何安全地做到这一点。参数将转换为字符串，以便Oracle无法执行查询。我无法在互联网上找到任何这方面的例子。安全完成此任务的最佳方法是什么？（我不使用ORM，必须是原始的sql）。

我的解决方法是将ASC / DESC设置为我设置的变量。这很好，很安全。但是，如何将列名绑定到ORDER BY？这甚至可能吗？我可以将一堆列列入白名单并执行类似于ASC / DESC的操作。我只是好奇是否有办法绑定它。感谢。

@default.route('/api/barcodes/<sort_by>/<sort_dir>', methods=['GET'])
@json_enc
def fetch_barcodes(sort_by, sort_dir):
    #time.sleep(5)

    # Can't use sort_dir as a parameter, so assign to variable to sanitize it
    ord_dir = "DESC" if sort_dir.lower() == 'desc' else 'ASC'

    records = []
    stmt = text("SELECT bb_request_id,bb_barcode,bs_status, "
        "TO_CHAR(bb_rec_cre_date, 'MM/DD/YYYY') AS bb_rec_cre_date "
        "FROM bars_barcodes,bars_status "
        "WHERE bs_status_id = bb_status_id "
        "ORDER BY :ord_by :ord_dir ")
    stmt = stmt.bindparams(ord_by=sort_by,ord_dir=ord_dir)
    rs = db.session.execute(stmt)
    records = [dict(zip(rs.keys(), row)) for row in rs]

DatabaseError：（cx_Oracle.DatabaseError）ORA-01036：非法变量名称/编号 [SQL：＆＃34; SELECT bb_request_id，bb_barcode，bs_status，TO_CHAR（bb_rec_cre_date，＆＃39; MM / DD / YYYY＆＃39;）AS bb_rec_cre_date FROM bars_barcodes，bars_status WHERE bs_status_id = bb_status_id ORDER BY：ord_by：ord_dir＆＃34 ;] [参数：{＆＃39; ord_by＆＃39;：你＆＃39; bb_rec_cre_date＆＃39;，＆＃39; ord_dir＆＃39;：＆＃39; ASC＆＃39;}}

根据接受的答案更新解决方案：

def fetch_barcodes(sort_by, sort_dir, page, rows_per_page):
    ord_dir_func = desc if sort_dir.lower() == 'desc' else asc
    query_limit = int(rows_per_page)
    query_offset = (int(page) - 1) * query_limit

    stmt = select([column('bb_request_id'),
                   column('bb_barcode'),
                   column('bs_status'),
                   func.to_char(column('bb_rec_cre_date'), 'MM/DD/YYYY').label('bb_rec_cre_date')]).\
        select_from(table('bars_barcode')).\
        select_from(table('bars_status')).\
        where(column('bs_status_id') == column('bb_status_id')).\
        order_by(ord_dir_func(column(sort_by))).\
        limit(query_limit).offset(query_offset)

    result = db.session.execute(stmt)
    records = [dict(row) for row in result]
    response = json_return()
    response.addRecords(records)
    #response.setTotal(len(records))
    response.setTotal(1001)
    response.setSuccess(True)
    response.addMessage("Records retrieved successfully. Limit: " + str(query_limit) + ", Offset: " + str(query_offset) + " SQL: " + str(stmt))

    return response

Answer 1

您可以使用Core和[{3}}等table()构造来代替原始SQL字符串。在这方面，这会让你的生活更轻松：

from sqlalchemy import select, table, column, asc, desc

ord_dir = desc if sort_dir.lower() == 'desc' else asc

stmt = select([column('bb_request_id'),
               column('bb_barcode'),
               column('bs_status'),
               func.to_char(column('bb_rec_cre_date'),
                            'MM/DD/YYYY').label('bb_rec_cre_date')]).\
    select_from(table('bars_barcodes')).\
    select_from(table('bars_status')).\
    where(column('bs_status_id') == column('bb_status_id')).\
    order_by(ord_dir(column(sort_by)))

table()和column()代表完整版Table对象Column的语法部分，可以这种方式用于逃避目的：

假设column()处理的文本的处理方式与数据库列的名称相同;如果字符串包含混合大小写，特殊字符或匹配目标后端上的已知保留字，则列表达式将使用后端确定的引用行为进行呈现。

但是，白名单可能并不是一个坏主意。

请注意，您无需手动zip()行代理即可生成字典。它们按原样用作映射，如果出于序列化原因需要dict()，请执行dict(row)。

如何在原始查询中将Oracle列安全地绑定到ORDER BY到SQLAlchemy？

1 个答案: