ORA-01036:通过nodejs运行查询时的非法变量名称/编号

时间:2017-09-01 15:50:59

标签: node.js oracle oracledb node-oracle oracledb-npm

我使用oracledb nodejs包运行这个简单的查询'ALTER USER hr IDENTIFIED BY secret'。不知道为什么我得到非法变量名称错误。我可以做这样的事情"ALTER USER :user IDENTIFIED BY :password";如果是,那么对我来说什么是正确的语法

function get(req, res, next) {
    oracledb.getConnection(
        config.database,
        function(err, connection){
            if (err) {
                return next(err);
            }

            connection.execute(
                'ALTER USER :user IDENTIFIED BY :password'+

            {
                user: req.body.user
            },
            {
                password: req.body.password
            },

                {
                    outFormat: oracledb.OBJECT
                }


          });
        }

感谢您的帮助

2 个答案:

答案 0 :(得分:2)

这里有几个问题:

  1. SQL字符串中缺少空格,因此它的各个部分一起运行。

  2. 在任何情况下,语法都只是ALTER USER hr IDENTIFIED BY secret,正如您在介绍中所说的那样;我不认为WHERE条款会产生任何影响。

  3. ALTER用于function get(req, res, next) { oracledb.getConnection( config.database, function(err, connection) { if (err) { return next(err); } user = req.body.user.toLowerCase(); password = req.body.password.toLowerCase(); // TODO make sure user and password are safe from SQL injections here // in particular, that they don't contain single quotation characters (') // or spaces connection.execute( 'ALTER USER ' + user + ' IDENTIFIED BY ' + password ); } ) } 语句中的用户名等内容。相反,您必须通过连接字符串来构造命令,并且仔细检查组件是否格式正确,并且不能用于SQL注入攻击

  4. 这样的事情应该有效(但我还没有测试过):

    {{1}}

答案 1 :(得分:2)

正如Matthew指出的那样,你必须使用字符串连接并防止SQL注入。

在某种程度上,我质疑是否需要这样做。我知道你已经知道这篇文章: https://jsao.io/2015/06/authentication-with-node-js-jwts-and-oracle-database/

由于该解决方案使用表来存储用户凭据,而不是依赖于数据库用户,因此可以安全地绑定值,而无需担心SQL注入。为什么不使用这种方法?

将数据库用户与动态SQL一起使用时,密码中不允许使用单引号(')。坦率地说,我讨厌那些限制。应该存在密码规则以增加安全性(必须包括的内容),而不是确保代码可以安全地执行(不允许的是什么)。这不会是自定义表的问题。

但是,你只有一个,这是一个基于promises的示例解决方案,它展示了如何使用dbms_assert来清理进来的值:

const oracledb = require('oracledb');
const config = require('./dbConfig.js');

function get(req, res, next) {
  let conn;
  const user = req.body.user;
  const password = req.body.password; // Do not change case

  oracledb.getConnection(config)
    .then((c) => {
      conn = c;

      return conn.execute(
       `declare

          -- Use dbms_assert to sanitize values coming in to avoid SQL injection.
          l_user      varchar2(30) := dbms_assert.simple_sql_name(:user);
          l_password  varchar2(30) := dbms_assert.enquote_literal(:password);
          l_statement varchar2(100);

        begin

          -- Replace single quotes added by enquote_literal to left and right sides with double quotes
          l_password := '"' || substr(substr(l_password, 2, length(l_password)), 1, length(l_password) - 2) || '"';

          l_statement := 'alter user ' || l_user || ' identified by ' || l_password;

          execute immediate l_statement;

        end;`,
        {
          user: user,
          password: password
        }
      );
    })
    .then(result => {
      console.log('Password changed');

      // write to res
    })
    .catch(err => {
      console.log('Error changing password', err);

      next(err);
    })
    .then(() => {
      if (conn) { // conn assignment worked, need to close
        return conn.close();
      }
    })
    .catch(err => {
      console.log('Error during close', err);
    });
}

// Simulate run of 'get' function
get(
  {
    body: {
      user: 'movie_budget',
      password: 'N0rm@l-P@sswOrd!' // This value will throw an error: '\'\; drop table users;'
    }
  }, 
  {},
  function() {}
);

最后,将数据库逻辑与控制器逻辑相结合可能会导致难以维护的代码。请查看此录制内容,了解有关更好地组织内容的一些提示:https://www.youtube.com/watch?v=hQgw2WmyuFM