为了获取一些数据,我创建了一个sql查询:)
当然,还有一些过滤和排序部分。
为了得到结果,我使用"NamedParameterJdbcTemplate“,当我需要向"where”部分添加一些东西时,我使用参数映射,以防止注入。
但它与"order by“部分不同,因为没有自动转义(它是sql的一部分)。这个订单部分有时会填充来自用户的数据(直接),有时会从内部代码中添加一些额外的排序参数。有一个问题:有时这个排序字段不仅包含列名,还包含一条sql语句。
现在,每个用于排序的参数都是通过将一些字符(如')替换为空字符串来手动转义的,但是我们为代码设置的一些参数对于传递此规则来说有点复杂。
当您使用jdbc模板时,什么是防止sql注入到查询的排序部分的最好方法?
发布于 2012-01-30 22:26:21
为了帮助防止数据库端的SQL注入,请看一下DBMS_ASSERT
内置的Oracle包:http://docs.oracle.com/cd/B28359_01/appdev.111/b28419/d_assert.htm
您可能会发现SIMPLE_SQL_NAME
函数有助于防止ORDER BY
子句的SQL注入。
希望这能帮上忙。
发布于 2012-01-30 23:15:20
您可以限制排序顺序的选择。大多数应用程序只允许用户按显示的列进行排序,用户可以通过其列位置选择要排序的列。
在这种情况下,您将只接受来自用户的整数(您可以接受负数以按降序排序)。您可以通过接受一个整数列表,让用户按多个列排序。
整数很容易检查,而且这不会向用户公开底层的列名。
发布于 2012-01-30 21:32:55
我使用的一种方法是Order By 3,2 (第三列,第二列)
因此,如果您可以找出用户在输出列中的位置输入的列名,那么间接应该会杀死注入向量。
https://stackoverflow.com/questions/9064541
复制相似问题