要获取一些数据,我正在创建一个SQL查询:) 当然有一些过滤和订购部分。
要获得结果,我使用“NamedParameterJdbcTemplate”,当我需要向“where”部分添加内容时,我使用参数map来防止注入。
但它与“order by”部分不同,因为没有自动转义(并且它是sql的一部分)。此订单部分有时会填充来自用户的数据(直接),有时会从代码内部添加一些额外的排序参数。有一个问题:有时这个排序字段不仅包含列名,还包含 sql语句。
现在,通过将一些字符(如')替换为空字符串来手动转义每个排序参数,但我们为代码设置的一些参数传递此规则有点复杂。
使用jdbc模板时,在查询的排序部分阻止sql注入的最佳方法是什么?
答案 0 :(得分:7)
为了防止数据库端的SQL注入,请查看DBMS_ASSERT内置Oracle包:http://docs.oracle.com/cd/B28359_01/appdev.111/b28419/d_assert.htm
您可能会发现SIMPLE_SQL_NAME函数有助于防止ORDER BY子句的SQL注入。
希望它有所帮助...
答案 1 :(得分:3)
您可以限制排序顺序的选择。大多数应用程序只允许用户按显示的列排序,用户可以选择要对其列位置进行排序的列。
在这种情况下,您只接受来自用户的整数(您可以接受负数以按降序排序)。您可以通过接受整数列表让用户按几列排序。
整数很容易检查,这不会将基础列名称暴露给用户。
答案 2 :(得分:1)
我使用的一种方法虽然略有不同,但却使用了 按顺序排列3,2(第3栏,第2栏)
因此,如果您可以计算输出列中用户位置输入的列名,则间接应该终止注入向量。