我正在用golang写一个面向半外部的Web服务,它使用户可以查询有关其帐户的信息,这些信息分布在多个内部旧式服务中。
我的服务将用户输入的字符串传递到多个后端RESTful API上,这些API会基于字符串进行MySQL查找以生成结果,然后将结果传递回我的服务以提供给用户。
从历史上看,这些旧版后端服务尚未暴露给用户输入,因此我不确定它们是否具有适当的防范SQL注入的防护措施。
通常,我会阻止使用Prepared Statements进行SQL注入,以防止DB引擎将用户字符串视为可解析的,但是在这种情况下,我无法控制DB调用-它们位于下游,因此立即审核它们是不现实的。
我可以在我的golang代码中做什么以尽可能地净化用户输入 ,以最大程度地减少SQL注入遗漏的风险?这最终是权宜之计,直到可以审核所有下游DB调用的注入安全性为止。
编辑:出于所有实际目的,用户输入可以是任意字符串,但不应是可执行代码。我的服务需要用户输入字段值,而不是代码。
答案 0 :(得分:6)
在过去的工作中,我为我们的服务维护了一个设施,该设施允许临时查询。它使管理人员无需等待数周的代码部署就可以请求报告(在部署花费数周的原始时间之前)。
我们不通过使服务接受任意字符串作为输入并将其作为SQL执行来支持临时报告查询。就像您确定的那样,这绝对是不安全的。
它的工作方式是将报表查询以及所需的查询参数数量存储在数据库中。
CREATE TABLE ManagerQueries (
id INT PRIMARY KEY,
query TEXT NOT NULL,
description TEXT NOT NULL,
num_params TINYINT UNSIGNED NOT NULL DEFAULT 0
);
INSERT INTO ManagerQueries
SET query = 'SELECT COUNT(*) FROM logins WHERE user_id = {0} AND created_at > {1}',
description = 'Count a given user logins since a date',
num_params = 2;
管理器前端可以通过其主键请求查询,而不是通过在Web请求中指定任意SQL字符串来
。只有DBA以及其他可能知道如何编写安全查询的开发人员或管理人员才可以向该存储库添加新查询,因此可以保证对查询进行了测试和审查。
通过UI请求报表查询时,它迫使用户提供查询参数的值。在我们的例子中,它从数据库读取SQL,执行prepare(),然后绑定execute()的值。因此,SQL注入防御得到了满足。
在您的情况下,您的代码可能无法直接访问旧版服务的数据库,因此您无法执行准备/执行和使用绑定参数的操作。您必须提交一个集成了值的静态查询。
在其他语言中,您可以通过转义使任何字符串值安全地插入到SQL查询中。请参见MySQL C API函数mysql_real_escape_string()。
数值更容易。您不必转义任何内容,只需要确保数字值是真实的数字即可。将动态值转换为数字后,可以安全地插回任何SQL字符串。
不幸的是,我认为golang SQL包不支持任何转义功能。有人要求将此功能作为功能,但据我所知,尚无受支持的实现。请参阅此处的讨论:https://github.com/golang/go/issues/18478
因此,您可能必须实现自己的转义功能。例如,您可以在官方的MySQL C实现之后对其进行建模:https://github.com/mysql/mysql-server/blob/8.0/mysys/charset.cc#L716
请注意,这比仅使用正则表达式替换要复杂一些,因为您需要考虑多字节字符集。
答案 1 :(得分:0)
在Bill的答案中添加数据输入。为了确保输出数据的卫生,例如Web服务,请检查html/template:
包模板(html / template)为以下对象实现了数据驱动的模板 生成可防止代码注入的HTML输出。