我正在尝试保护我的数据库免受SQL注入。我有许多存储函数返回SETOF我的预定义数据类型。例如:
create type userLoginUserIdPasswordReturnType as
(
userId integer, -- user.id
password text
);
CREATE OR REPLACE FUNCTION "user_login_get_id_password"(usernameIn text)
returns setof userLoginUserIdPasswordReturnType as
$$
declare
sql text;
begin
sql = 'select id, cryptpwd from "user" where username = ' || usernameIn ||';';
return query execute sql;
end;
$$ language 'plpgsql';
我现在想从我的Java前端调用这些存储过程。根据我的阅读,使用CallableStatement对SQL注入更安全。这就是我到目前为止所做的:
public ArrayList<String> userLoginGetIdPassword(String username){
ArrayList<String> result = new ArrayList<String>();
try{
String commandText = "{call user_login_get_id_password(?)}";
this.cstmt = this.myConnection.prepareCall(commandText);
this.cstmt.setObject(1, username);
// this.rs = this.cstmt.execute();
this.rs = cstmt.executeQuery();
while (this.rs.next()){
result.add(this.rs.getString(1));
}
} catch (SQLException e){
System.out.println("SQL Exception: ");
e.printStackTrace();
}
return result;
}
如果我尝试使用execute()方法,它会要求我将ResultSet rs设置为boolean。如果以它的方式运行(executeQuery()),则只能在ResultSet中看到returnType的第一个字段(userId)。
如果我这样调用存储过程:
public ArrayList<String> userLoginGetIdPassword(String username){
ArrayList<String> result = new ArrayList<String>();
try{
String query = "select \"user_login_get_id_password\"('" + username + "');";
System.out.println(query);
this.stmt = this.myConnection.createStatement();
this.rs = this.stmt.executeQuery(query);
while (this.rs.next()){
result.add(this.rs.getString(1));
}
} catch (SQLException e){
System.out.println("SQL Exception: ");
e.printStackTrace();
}
return result;
}
我得到了正确的数据。
此外,如果有任何进一步的技巧来保护我的数据库免受SQL注入,请指出它们。我已经创建了应用程序将使用的特定Postgres角色,并实现了连接到我的数据库的ConnectionPool(c3p0) - 应用程序将在本地网络上运行。我正在验证来自不同Java Swing组件的用户输入,以避免SQL注入攻击(注释 - ,半冒号,*和其他SQL命令,如DELETE)。
任何意见都是最受欢迎的。
感谢。
答案 0 :(得分:1)
首先,PostgreSQL不支持call
命令,这就是你的第一种方法失败的原因。
在第二种方法中,您将遇到两个问题。第一个是SQL注入。使用标准绑定apprach将解决这个问题。你的第二个问题是你很难从你的函数中解析数据,因为你已经调用了它。
更好的方法就是
SELECT * FROM user_login_get_id_password(?)
但请注意,在您的函数中可以进行sql注入。在某种程度上,您可以避免EXECUTE
来保护您。如果必须使用execute,请将查询字符串更改为:
sql = 'select id, cryptpwd from "user" where username = ' || quote_literal(usernameIn);
执行查询中不需要终止分号。它会自动终止。你需要调用quote_literal(如果引用表/列名,则使用quote_ident())。