SQL预编译中order by后为什么不能参数化原因

=(^.^)=哈哈哈2023-10-26 15:29

SQL预编译中order by后为什么不能参数化原因

以Golang为例进行说明

go 复制代码 
package main

import (
	"database/sql"
	"fmt"
	"log"

	_ "github.com/go-sql-driver/mysql" // Import MySQL driver
)

func main() {
	// 数据库连接信息
	db, err := sql.Open("mysql", "username:password@tcp(localhost:3306)/dbname")
	if err != nil {
		log.Fatal(err)
	}
	defer db.Close()

	// 查询的参数
	userID := 123

	// 准备查询语句,使用占位符
	query := "SELECT username, email FROM users WHERE id = ?"
	rows, err := db.Query(query, userID)
	if err != nil {
		log.Fatal(err)
	}
	defer rows.Close()

	for rows.Next() {
		var username, email string
		if err := rows.Scan(&username, &email); err != nil {
			log.Fatal(err)
		}
		fmt.Printf("Username: %s, Email: %s\n", username, email)
	}
}

db.Query(query, userID)会自动给值加上引号。比如假设id="1",那么拼凑成的语句会是SELECT username, email FROM users WHERE id ='1'

再看order by,order by后一般是接字段名,而字段名是不能带引号的,比如 order by id;如果带上引号成了order by 'id',那username就是一个字符串不是字段名了,这就产生了语法错误。

所以order by后不能参数化的本质是:一方面预编译又只有自动加引号的db.Query()方法,没有不加引号的方法;而另一方面order by后接的字段名不能有引号。

更本质的说法是:不只order by,凡是字符串但又不能加引号的位置都不能参数化;包括sql关键字、库名表名字段名函数名等等。

不能参数化位置的防sql注入办法

不能参数化的位置,不管怎么拼接,最终都是和使用"+"号拼接字符串的功效一样:拼成了sql语句但没有防sql注入的效果。

但好在的一点是,不管是sql关键字,还是库名表名字段名函数名对于后台开发者来说他的集合都是有限的,更准确点应该说也就那么几个。

这时我们应可以使用白名单的这种针对有限集合最常用的处理办法进行处理,如果传来的参数不在白名单列表中,直接返回错误即可。

代码类似如下:

go 复制代码 
package main

import (
	"database/sql"
	"log"

	_ "github.com/go-sql-driver/mysql"
)

func main() {
	db, err := sql.Open("mysql", "user:password@tcp(localhost:3306)/dbname")
	if err != nil {
		log.Fatal(err)
	}
	defer db.Close()

	// 假设输入的排序列是由用户提供的
	userInput := "columnName" // 假设用户输入
	orderBy := "id"          // 默认排序列

	// 验证用户提供的排序列是否是允许的列,避免注入
	allowedColumns := map[string]bool{"columnName": true, "columnName2": true, "columnName3": true} // 列出所有允许的列名
	if _, ok := allowedColumns[userInput]; !ok {
		log.Fatal("Invalid input for order by")
	}

	// 使用预编译语句
	stmt, err := db.Prepare("SELECT * FROM table_name ORDER BY " + userInput)
	if err != nil {
		log.Fatal(err)
	}
	defer stmt.Close()

	// 执行查询
	rows, err := stmt.Query()
	if err != nil {
		log.Fatal(err)
	}
	defer rows.Close()

	// 处理结果
	for rows.Next() {
		// 处理每一行的数据
	}
	if err = rows.Err(); err != nil {
		log.Fatal(err)
	}
}
相关推荐
Doro再努力2 分钟前
【MySQL数据库09】外键约束与多表查询基础
数据库·mysql
ss27324 分钟前
019:深入解析可重入互斥锁:原理、实现与线程安全实践
java·数据库·redis
O***Z6161 小时前
三分钟内快速完成MySQL到达梦数据库的迁移
数据库·mysql
友友马2 小时前
『QT』窗口 (一)
开发语言·数据库·qt
q***78372 小时前
SQL实现md5加密方法
数据库·sql
q***61412 小时前
Spring中Aware的用法以及实现
java·数据库·spring
红树林072 小时前
渗透测试之sql注入--报错注入
数据库·sql·安全·web安全
菜鸟小九3 小时前
mysql(锁)
数据库·mysql·oracle
c***42103 小时前
【Sql Server】随机查询一条表记录,并重重温回顾下自定义函数的封装和使用
数据库·性能优化
Appreciate(欣赏)3 小时前
JAVA使用poi类读取xlxs文件内容拼接成添加数据SQL
java·开发语言·sql
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连04UV安装并设置国内源05Linux下V2Ray安装配置指南06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07“我的电脑”图标没了怎么办 4种方法找回08Labelme从安装到标注:零基础完整指南09全球最强模型Grok4,国内已可免费使用!(附教程)10Gemini 3.0 Pro Preview 实测报告