V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiangyuecn
V2EX  ›  程序员

把字符串里面的'替换成''拼接到 SQL 里,新版主流关系数据库还会有被此字符串注入的可能吗?

  •  
  •   xiangyuecn ·
    xiangyuecn · 2019-08-02 17:27:15 +08:00 · 1901 次点击
    这是一个创建于 1942 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天在写 ios 的 sqlite 数据库 CRUD (未用第三方库),找到的文章清一色的对查询参数中的字符串没有任何处理就拼到了 sql 语句里面,就直接调用了 sqlite3_prepare 函数执行。如果字符串里面出现了'字符,就算不是恶意输入的,但也会导致问题呀。Android 稍微好点,有参数化那种查询。

    于是产生了这个疑问:在仅支持自己构造完整 sql 语句执行的情况下,把用户输入的一个字符串里面的'换成了''拼接到 sql 语句里面,新版、现代、主流的关系型数据库是否还有可能被这个字符串注入?

    不限于后端这个重点防范的地方,前端 js、Android、ios 等能接触到数据库的地方都应该会产生此问题吧。


    假设用的开发语言、数据库都是当前最新版。比如伪代码:

    name=UserInput("name").replace("'","''")
    sql="select * from table where name='"+name+"'"
    db_exec(sql)
    

    已经将用户输入的 name 字符串中的'替换成了'',最新版的 oracle、mysql、sql server 等数据库还有可能被用户输入的这个字符串注入的风险吗?

    10 条回复    2019-08-02 18:43:29 +08:00
    Takamine
        1
    Takamine  
       2019-08-02 17:33:14 +08:00
    现在一般都先走预编译,这样简单的注入应该没什么用了。
    webshe11
        2
    webshe11  
       2019-08-02 17:37:14 +08:00   ❤️ 1
    naive,还有反斜杠呢
    用户输入:
    someone\' or 1=1 #
    替换结果:
    someone\'' or 1=1 #
    拼接结果:
    select * from users where username='someone\'' or 1=1 #'
    建议用编程语言提供的安全操作函数,例如 PHP 的 PDO,不要自己发明
    xiangyuecn
        3
    xiangyuecn  
    OP
       2019-08-02 17:41:50 +08:00
    @webshe11 #2 感谢,反斜杠似乎也是一个需要留意处理的问题😊

    不是我要发明呀,语言环境里面没有提供(没有找到)更好的操作,在只能靠自己拼接的情况下,能有什么办法呢😂
    xiangyuecn
        4
    xiangyuecn  
    OP
       2019-08-02 17:45:36 +08:00
    @webshe11 刚试了一下,sqlite 和 sql server 反斜杠是普通字符,在 sqllite 和 sql server 里面无需特殊处理。
    momocraft
        5
    momocraft  
       2019-08-02 17:53:46 +08:00
    sqlite 别管了,用户有权对自己的设备做任何事
    xiangyuecn
        6
    xiangyuecn  
    OP
       2019-08-02 18:00:13 +08:00
    @momocraft #5 哈哈,虽然如此,但发生了发生了类似注入性质的行为时(用户正常输入、非恶意、只是碰巧输如了关键字),往往会导致程序运行错误,好端端的 app 运行着就崩溃了就不好啦😁
    EchoUtopia
        7
    EchoUtopia  
       2019-08-02 18:00:28 +08:00   ❤️ 1
    mysql 也可以配置,是否把‘\‘当成普通字符,postgres 默认是当作普通字符
    azh7138m
        8
    azh7138m  
       2019-08-02 18:08:54 +08:00
    prepare+bind 对 SQLite 来说就是安全的了。
    php 中 execute 的时候传入参数也是安全的 https://www.php.net/manual/en/pdostatement.execute.php
    liprais
        9
    liprais  
       2019-08-02 18:41:32 +08:00 via iPhone
    除了 prepared statement ,都是不安全的
    starsriver
        10
    starsriver  
       2019-08-02 18:43:29 +08:00 via Android
    建议先变成实体,然后全部转换成 utf16 扔数据库.

    后台都有专门的过滤函数,不用担心。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3285 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 12:46 · PVG 20:46 · LAX 04:46 · JFK 07:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.