SQL预编译中order by后为什么不能参数化原因

=(^.^)=哈哈哈2023-10-26 15:29

SQL预编译中order by后为什么不能参数化原因

以Golang为例进行说明

go 复制代码 
package main

import (
	"database/sql"
	"fmt"
	"log"

	_ "github.com/go-sql-driver/mysql" // Import MySQL driver
)

func main() {
	// 数据库连接信息
	db, err := sql.Open("mysql", "username:password@tcp(localhost:3306)/dbname")
	if err != nil {
		log.Fatal(err)
	}
	defer db.Close()

	// 查询的参数
	userID := 123

	// 准备查询语句,使用占位符
	query := "SELECT username, email FROM users WHERE id = ?"
	rows, err := db.Query(query, userID)
	if err != nil {
		log.Fatal(err)
	}
	defer rows.Close()

	for rows.Next() {
		var username, email string
		if err := rows.Scan(&username, &email); err != nil {
			log.Fatal(err)
		}
		fmt.Printf("Username: %s, Email: %s\n", username, email)
	}
}

db.Query(query, userID)会自动给值加上引号。比如假设id="1",那么拼凑成的语句会是SELECT username, email FROM users WHERE id ='1'

再看order by,order by后一般是接字段名,而字段名是不能带引号的,比如 order by id;如果带上引号成了order by 'id',那username就是一个字符串不是字段名了,这就产生了语法错误。

所以order by后不能参数化的本质是:一方面预编译又只有自动加引号的db.Query()方法,没有不加引号的方法;而另一方面order by后接的字段名不能有引号。

更本质的说法是:不只order by,凡是字符串但又不能加引号的位置都不能参数化;包括sql关键字、库名表名字段名函数名等等。

不能参数化位置的防sql注入办法

不能参数化的位置,不管怎么拼接,最终都是和使用"+"号拼接字符串的功效一样:拼成了sql语句但没有防sql注入的效果。

但好在的一点是,不管是sql关键字,还是库名表名字段名函数名对于后台开发者来说他的集合都是有限的,更准确点应该说也就那么几个。

这时我们应可以使用白名单的这种针对有限集合最常用的处理办法进行处理,如果传来的参数不在白名单列表中,直接返回错误即可。

代码类似如下:

go 复制代码 
package main

import (
	"database/sql"
	"log"

	_ "github.com/go-sql-driver/mysql"
)

func main() {
	db, err := sql.Open("mysql", "user:password@tcp(localhost:3306)/dbname")
	if err != nil {
		log.Fatal(err)
	}
	defer db.Close()

	// 假设输入的排序列是由用户提供的
	userInput := "columnName" // 假设用户输入
	orderBy := "id"          // 默认排序列

	// 验证用户提供的排序列是否是允许的列,避免注入
	allowedColumns := map[string]bool{"columnName": true, "columnName2": true, "columnName3": true} // 列出所有允许的列名
	if _, ok := allowedColumns[userInput]; !ok {
		log.Fatal("Invalid input for order by")
	}

	// 使用预编译语句
	stmt, err := db.Prepare("SELECT * FROM table_name ORDER BY " + userInput)
	if err != nil {
		log.Fatal(err)
	}
	defer stmt.Close()

	// 执行查询
	rows, err := stmt.Query()
	if err != nil {
		log.Fatal(err)
	}
	defer rows.Close()

	// 处理结果
	for rows.Next() {
		// 处理每一行的数据
	}
	if err = rows.Err(); err != nil {
		log.Fatal(err)
	}
}
相关推荐
小诸葛的博客1 小时前
pg入门18—如何使用pg gis
数据库
林太白2 小时前
❤Node09-用户信息token认证
数据库·后端·mysql·node.js
我爱娃哈哈2 小时前
MySQL 优化器:理解与探秘
数据库·mysql
Data 3172 小时前
Shell脚本编程基础(二)
大数据·linux·运维·数据仓库·sql·centos·bash
尘浮生2 小时前
Java项目实战II基于Java+Spring Boot+MySQL的大型商场应急预案管理系统(源码+数据库+文档)
java·开发语言·数据库·spring boot·spring·maven·intellij-idea
MXsoft6183 小时前
监控易监测对象及指标之:全面监控DB2_linux数据库
数据库·oracle
尘浮生3 小时前
Java项目实战II基于Java+Spring Boot+MySQL的校园社团信息管理系统(源码+数据库+文档)
java·开发语言·数据库·spring boot·mysql·spring·maven
petaexpress3 小时前
分布式云化数据库的优缺点分析
数据库·分布式
Lansonli3 小时前
大数据Flink(一百二十):Flink SQL自定义函数(UDF)
大数据·sql·flink
失心疯_20233 小时前
Mysql_使用简介
数据库·sql·mysql·关系型数据库·ddl·dml·mysql教程
热门推荐
01CCF-CSP认证考试 202406-3 文本分词 100分题解02RAG 实践- Ollama+RagFlow 部署本地知识库032024年高教社杯数学建模国赛C题超详细解题思路分析04实战 | 基于YOLOv9和OpenCV实现车辆跟踪计数(步骤 + 源码)05组基轨迹建模 GBTM的介绍与实现(Stata 或 R)06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07【数据分享】1961—2022年全国范围的逐日降水栅格数据08苍穹外卖面试总结09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)