动态创建表时如何避免SQL注入风险?

时间:2019-04-26 11:51:07

标签: mysql sql-injection

这是一个简单的过程,可以根据用户提供的输入创建表:

PROCEDURE `hackProcedure`(
IN tab_name VARCHAR(63))
BEGIN

IF (tab_name REGEXP '^[A-Za-z0-9 ]+$')
THEN
    SET @StB = CONCAT('CREATE TABLE tab_name
                      (id INT(10) PRIMARY KEY NOT NULL UNIQUE AUTO_INCREMENT,
                      name VARCHAR(45),
                      guid VARCHAR(36));');
    PREPARE statementB FROM @StB;
    EXECUTE statementB;
    DEALLOCATE PREPARE statementB;
ELSE
    -- SIGNAL some error;
END IF;
#END

在创建表之前,我检查用户输入仅包含字母数字值,因此据我所知,尝试对此过程进行SQL注入的坏人无法成功,因为无法注释掉其余查询,也无法注释掉添加其他列。这是安全的还是我缺少东西?

1 个答案:

答案 0 :(得分:2)

它不容易受到攻击,因为您显示给我们的代码对表名使用文字值-而不是参数。我想您想这样做:

CONCAT('CREATE TABLE ',  tab_name, '
                  (id INT(10) PRIMARY KEY NOT NULL UNIQUE AUTO_INCREMENT,
                  name VARCHAR(45),
                  guid VARCHAR(36));');

现在,如果我用...调用函数呢?

dummy (id INT NOT NULL); DROP TABLE mysql.users; CREATE TABLE dummy2

它会失败,因为分号和方括号会被正则表达式拒绝,但这远不是一个可靠的解决方案。

在表名的周围添加反引号(只要正则表达式不允许),就会有一点改进。

 CONCAT('CREATE TABLE `',  tab_name, '`
相关问题
最新问题