数据蒋堂 | 报表工具的SQL植入风险

作者：蒋步星

来源：数据蒋堂

本文共2600字，建议阅读10分钟。 报表开发人员如何规避安全漏洞问题？

所有的报表工具都会提供参数功能，主要都是用于根据用户输入的查询条件来选取合适的数据。比如希望查询指定时间段的数据，就可以把时间段作为参数传递给报表，报表在从数据库中取数时将这些参数应用到取数SQL的WHERE条件上，就可以根据不同参数取出不同数据来呈现了。不过，这样做要求事先把查询条件的规格做死，比如按时间段查询，那就要事先把WHERE写成 date>=? AND date<=? 的形式。这时候，如果想用地区查询就不行了，还得再造一个形如 area=? 的查询条件或报表。显然，这非常麻烦！

于是，通用查询出现了。报表工具提供一种特殊的字符串型参数，允许将其应用于替换SQL的某一部分，比如WHERE子句。界面端根据用户输入拼出合法的SQL条件串，作为参数传递给报表替换现有SQL的WHERE子句，这样就可以在同一张报表上实现不同形式的查询条件了。比如SQL可以写成：

SELECT … FROM T WHERE ${w}

其中${w}就是将来会被参数w替换的内容。按时间段查询时，可以把w拼成 date>… AND data <=…，按地区查询时则拼成area=…。当然也可以混合多条件查询拼成data>… AND date<=… AND area=…。无条件时则拼成一个永远为真的条件1=1。显然，这非常灵活了。

但是，这样做会带来严重的安全隐患。

讨论安全问题时，我们要假定前端没有任何安全性可言，也就是前端很可能被黑客劫持而送入任何可能的参数进来。假如，黑客把上面的w拼成：

1=0 UNION SELECT … FROM user

送进来。现在整个SQL语句就变成

SELECT … FROM T WHERE 1=0 UNION SELECT … FROM user

这是一句可执行的合法SQL，user表中的信息就被泄露了。

怎么补救呢？我们可以把原始SQL的条件上加上括号，写成

SELECT … FROM T WHERE (${w})

的形式。正常的条件串传进来仍然是合法可执行的，而刚才那个攻击串传进来之后，SQL将变成：

SELECT … FROM T WHERE (1=0 UNION SELECT … FROM user)

这是一句非法的SQL，会被数据库拒绝，风险似乎就没有了。

且慢，如果黑客把w拼成：

1=0) UNION SELECT … FROM user WHERE (1=1

整句SQL将变成：

SELECT … FROM T WHERE (1=0) UNION SELECT … FROM user WHERE (1=1)

还是一句可执行的合法SQL，仍然会泄露信息。

原则上，我们要假定最坏情况，要保证黑客即使知道数据库结构和报表SQL写法时，仍然无法攻击。

我们只能把这个SQL写得更复杂一些：

SELECT … FROM T WHERE (${w}) OR ${w}

正常的条件串仍然还是合法可执行的，攻击串送进来会变成：

SELECT … FROM T WHERE (1=0) UNION SELECT … FROM user WHERE (1=1) OR 1=0) UNION SELECT … FROM user WHERE (1=1

这就非法了，可以挡住这个攻击。

这个写法是不是能挡住所有的SQL植入攻击，我没有仔细证明过，试了很多可能的攻击都没问题，有兴趣的读者可以再尝试一下。

无论如何，这个SQL已经有点复杂了，而且SQL写成这样，执行效率也会受到影响，条件有时候会被执行两次（当w为假时，第二遍w会没必要地再计算一次）。但为了安全性，却没有什么好办法。

这个例子说明，想挡住SQL植入攻击并不是非常轻松的事情。这还只是把替换子句用在WHERE的部分，有时为了灵活选出字段，还可能把替换子句用到SELECT甚至FROM部分，情况就更为复杂。我想，对于相当多对安全意识还不够强的报表开发人员来讲，想到这些并且避免都不是一件容易的事，但又是一件非常重要的事。

从这个意义上讲，使用传统的参数方案（本文开头的说法）在有些时候还是相当必要的，这种方案下只能执行固定的SQL，不可能被植入，虽然条件方面不够灵活，但安全性可靠得多。有个别报表工具为了简单灵活而只提供了子句替换的方案，在选型考察时要特别加以注意，毕竟报表开发人员很可能会忽略这个问题，而这种安全漏洞又不是很容易被测试出来的，但一旦发生的后果都会很严重。

还有个办法是由报表工具提供敏感词检查，当传进来的替换子句包含某些特定词的时候将被拒绝掉，比如很少有人会用select,from这些SQL关键字作为字段名，那么，我们判断一下如果替换子句中包含有select,from这些词时，就认为受到攻击并拒绝执行。这样做会牺牲一点灵活性，有时传进来的子句真的会含有这些关键字，比如拼入SELECT或FROM部分的子句，不过这种情况相对少见，损失不大，但获得了较好的安全性。

专栏作者简介

润乾软件创始人、首席科学家

清华大学计算机硕士，中国大数据产业生态联盟专家委员，著有《非线性报表模型原理》等，1989年，中国首个国际奥林匹克数学竞赛团体冠军成员，个人金牌；2000年，创立润乾公司；2004年，首次在润乾报表中提出非线性报表模型，完美解决了中国式复杂报表制表难题，目前该模型已经成为报表行业的标准；2014年，经过7年开发，润乾软件发布不依赖关系代数模型的计算引擎——集算器，有效地提高了复杂结构化大数据计算的开发和运算效率；2015年，润乾软件被福布斯中文网站评为“2015福布斯中国非上市潜力企业100强”；2016、2017年，荣获中国电子信息产业发展研究院评选的“中国软件和信息服务业十大领军人物”；2017年度中国数据大工匠、数据领域专业技术讲堂《数据蒋堂》创办者。

数据蒋堂

《数据蒋堂》的作者蒋步星，从事信息系统建设和数据处理长达20多年的时间。他丰富的工程经验与深厚的理论功底相互融合、创新思想与传统观念的相互碰撞，虚拟与现实的相互交织，产生出了一篇篇的沥血之作。此连载的内容涉及从数据呈现、采集到加工计算再到存储以及挖掘等各个方面。大可观数据世界之远景、小可看技术疑难之细节。针对数据领域一些技术难点，站在研发人员的角度从浅入深，进行全方位、360度无死角深度剖析；对于一些业内观点，站在技术人员角度阐述自己的思考和理解。蒋步星还会对大数据的发展，站在业内专家角度给予预测和推断。静下心来认真研读你会发现，《数据蒋堂》的文章，有的会让用户避免重复前人走过的弯路，有的会让攻城狮面对扎心的难题茅塞顿开，有的会为初入行业的读者提供一把开启数据世界的钥匙，有的甚至会让业内专家大跌眼镜，产生思想交锋。