我使用oracledb nodejs包运行这个简单的查询'ALTER USER hr IDENTIFIED BY secret'。不知道为什么我得到非法变量名称错误。我可以做这样的事情"ALTER USER :user IDENTIFIED BY :password";如果是,那么对我来说什么是正确的语法
function get(req, res, next) {
oracledb.getConnection(
config.database,
function(err, connection){
if (err) {
return next(err);
}
connection.execute(
'ALTER USER :user IDENTIFIED BY :password'+
{
user: req.body.user
},
{
password: req.body.password
},
{
outFormat: oracledb.OBJECT
}
});
}
感谢您的帮助
答案 0 :(得分:2)
这里有几个问题:
SQL字符串中缺少空格,因此它的各个部分一起运行。
在任何情况下,语法都只是ALTER USER hr IDENTIFIED BY secret,正如您在介绍中所说的那样;我不认为WHERE条款会产生任何影响。
您ALTER用于function get(req, res, next) {
oracledb.getConnection(
config.database,
function(err, connection) {
if (err) {
return next(err);
}
user = req.body.user.toLowerCase();
password = req.body.password.toLowerCase();
// TODO make sure user and password are safe from SQL injections here
// in particular, that they don't contain single quotation characters (')
// or spaces
connection.execute(
'ALTER USER ' + user + ' IDENTIFIED BY ' + password
);
}
)
}
语句中的用户名等内容。相反,您必须通过连接字符串来构造命令,并且仔细检查组件是否格式正确,并且不能用于SQL注入攻击。
这样的事情应该有效(但我还没有测试过):
{{1}}
答案 1 :(得分:2)
正如Matthew指出的那样,你必须使用字符串连接并防止SQL注入。
在某种程度上,我质疑是否需要这样做。我知道你已经知道这篇文章: https://jsao.io/2015/06/authentication-with-node-js-jwts-and-oracle-database/
由于该解决方案使用表来存储用户凭据,而不是依赖于数据库用户,因此可以安全地绑定值,而无需担心SQL注入。为什么不使用这种方法?
将数据库用户与动态SQL一起使用时,密码中不允许使用单引号(')。坦率地说,我讨厌那些限制。应该存在密码规则以增加安全性(必须包括的内容),而不是确保代码可以安全地执行(不允许的是什么)。这不会是自定义表的问题。
但是,你只有一个,这是一个基于promises的示例解决方案,它展示了如何使用dbms_assert来清理进来的值:
const oracledb = require('oracledb');
const config = require('./dbConfig.js');
function get(req, res, next) {
let conn;
const user = req.body.user;
const password = req.body.password; // Do not change case
oracledb.getConnection(config)
.then((c) => {
conn = c;
return conn.execute(
`declare
-- Use dbms_assert to sanitize values coming in to avoid SQL injection.
l_user varchar2(30) := dbms_assert.simple_sql_name(:user);
l_password varchar2(30) := dbms_assert.enquote_literal(:password);
l_statement varchar2(100);
begin
-- Replace single quotes added by enquote_literal to left and right sides with double quotes
l_password := '"' || substr(substr(l_password, 2, length(l_password)), 1, length(l_password) - 2) || '"';
l_statement := 'alter user ' || l_user || ' identified by ' || l_password;
execute immediate l_statement;
end;`,
{
user: user,
password: password
}
);
})
.then(result => {
console.log('Password changed');
// write to res
})
.catch(err => {
console.log('Error changing password', err);
next(err);
})
.then(() => {
if (conn) { // conn assignment worked, need to close
return conn.close();
}
})
.catch(err => {
console.log('Error during close', err);
});
}
// Simulate run of 'get' function
get(
{
body: {
user: 'movie_budget',
password: 'N0rm@l-P@sswOrd!' // This value will throw an error: '\'\; drop table users;'
}
},
{},
function() {}
);
最后,将数据库逻辑与控制器逻辑相结合可能会导致难以维护的代码。请查看此录制内容,了解有关更好地组织内容的一些提示:https://www.youtube.com/watch?v=hQgw2WmyuFM