错误根源
每次在将动态内容与sql语句拼接时都要考虑sql注入的风险。问题根源在于没有将数据与代码(sql语句)进行分离,这个和xss很类似。示例:
sql = 'SELECT * FROM bugs WHERE bug_id = ' + '1; DELETE * FROM users;'
session.execute(sql)
防御方法
1. 过滤输入
过滤用户输入的不合法字符
如整数类型转换
bug_id = int(bug_id)
sql = 'SELECT * FROM bugs WHERE bug_id = %d;' % bug_id
如动态按列排序,假如表中字段名称只包含字母,数字和下划线
import re
order_by = re.sub(r'[^\w_]', '', order_by)
sql = 'SELECT * FROM bugs ORDER BY %s;' % order_by
# 用户即使输入 order_by = 'user; DELETE * FROM xxx;' 也会被转换为order_by = 'userDELETEFROMxxx'
# 执行错误但没有安全问题
2. 参数化动态内容
强有力的防御手段,对于动态数据十分有效。使用查询参数将数据与SQL表达式分离。参数化查询,数据库先将带?的SQL表达式编译好之后,才套用参数执行。如sqlite:
cursor.execute('INSERT INTO people VALUES (?, ?)', (who, age))
3. 数据与代码隔离
对于表名,字段名,sql关键字需要动态化的,可以使用隔离方式。建立用户输入与sql动态部分的映射关系,如字典。让用户界面与查询细节解耦,同时不将用户输入与sql语句拼接,降低风险。如:
field_map = {
'age': 'people_age',
'gender': 'people_gender'
...
}
# order_by = 'age'
order_by = field_map.get(order_by, 'default')
sql = 'SELECT * FROM people ORDER BY %s;' % order_by
