JDBC Postgres存储函数调用返回setof' myType'

时间:2012-06-29 06:32:47

标签: function postgresql jdbc callable

我正在尝试保护我的数据库免受SQL注入。我有许多存储函数返回SETOF我的预定义数据类型。例如:

create type userLoginUserIdPasswordReturnType as
(
  userId integer, -- user.id
  password text 
);

CREATE OR REPLACE FUNCTION "user_login_get_id_password"(usernameIn text)
returns setof userLoginUserIdPasswordReturnType as
$$
declare
    sql text;
begin
      sql =  'select id, cryptpwd from "user" where username = ' || usernameIn ||';';
      return query execute sql;
end;
$$ language 'plpgsql';

我现在想从我的Java前端调用这些存储过程。根据我的阅读,使用CallableStatement对SQL注入更安全。这就是我到目前为止所做的:

public ArrayList<String> userLoginGetIdPassword(String username){
        ArrayList<String> result = new ArrayList<String>();
        try{
            String commandText = "{call user_login_get_id_password(?)}";
            this.cstmt = this.myConnection.prepareCall(commandText);
            this.cstmt.setObject(1, username);
//          this.rs = this.cstmt.execute();
            this.rs = cstmt.executeQuery();
            while (this.rs.next()){
                result.add(this.rs.getString(1));
            }
        } catch (SQLException e){
            System.out.println("SQL Exception: ");
            e.printStackTrace();
        }
        return result;
    }

如果我尝试使用execute()方法,它会要求我将ResultSet rs设置为boolean。如果以它的方式运行(executeQuery()),则只能在ResultSet中看到returnType的第一个字段(userId)。

如果我这样调用存储过程:

public ArrayList<String> userLoginGetIdPassword(String username){
        ArrayList<String> result = new ArrayList<String>();
        try{
            String query = "select \"user_login_get_id_password\"('" + username + "');";
            System.out.println(query);
            this.stmt = this.myConnection.createStatement();
            this.rs = this.stmt.executeQuery(query);
            while (this.rs.next()){
                result.add(this.rs.getString(1));
            }
        } catch (SQLException e){
            System.out.println("SQL Exception: ");
            e.printStackTrace();
        }
        return result;
    }

我得到了正确的数据。

此外,如果有任何进一步的技巧来保护我的数据库免受SQL注入,请指出它们。我已经创建了应用程序将使用的特定Postgres角色,并实现了连接到我的数据库的ConnectionPool(c3p0) - 应用程序将在本地网络上运行。我正在验证来自不同Java Swing组件的用户输入,以避免SQL注入攻击(注释 - ,半冒号,*和其他SQL命令,如DELETE)。

任何意见都是最受欢迎的。

感谢。

1 个答案:

答案 0 :(得分:1)

首先,PostgreSQL不支持call命令,这就是你的第一种方法失败的原因。

在第二种方法中,您将遇到两个问题。第一个是SQL注入。使用标准绑定apprach将解决这个问题。你的第二个问题是你很难从你的函数中解析数据,因为你已经调用了它。

更好的方法就是

SELECT * FROM user_login_get_id_password(?)

但请注意,在您的函数中可以进行sql注入。在某种程度上,您可以避免EXECUTE来保护您。如果必须使用execute,请将查询字符串更改为:

sql =  'select id, cryptpwd from "user" where username = ' || quote_literal(usernameIn);

执行查询中不需要终止分号。它会自动终止。你需要调用quote_literal(如果引用表/列名,则使用quote_ident())。