SQL注入-如何清理程序生成的SQL子句

在标准Ajax中，where和order by SQL子句是由程序(而不是用户)提供的，例如

var url = ".select?dd=emp&where="+escape("emp_tp='abc' and hire_dt<current_date-'2 years' and super_emp_id is distinct from emp_id")

在服务器上被

应答

$where = (isset($_GET['where'])) ? pureClause($_GET['where']) : null;
$order = (isset($_GET['order'])) ? pureClause($_GET['order']) : null;
...
$query = $query.(($where)?" where $where":'').(($order)?" order by $order":'');

问题是pureClause函数应该是什么样的?

现在pureClause只是抛出错误，如果有以下任何一个存在:

; select insert update delete drop create truncate

如果其他注入导致查询失败，没关系，只要数据未损坏。

对我来说这似乎足够了，但在我心里，我知道我错了。

澄清:

Postgres中的
• 预处理语句虽然非常快，但设置和维护起来很麻烦——它们适用于使用良好的查询，但不适用于自定义查询。
• 为每个事务创建一个准备好的语句是一个巨大的数据库冲击。如果可以在应用程序级别获得安全性，则更可取。

最后，考虑where子句

emp_tp='abc' and hire_dt=current_dt-'2 years' and super_emp_id is distinct from emp_id

这里有多少占位符?在将其输入到带有占位符的预处理语句之前，需要对其进行正确解析，对吗?还是我完全错过了机会?

---

主要事实:

• not为参数化准备语句编写SQL子句解析器
• not编写一个SQL子句清理程序来保证没有危害

解决方案:

用于select，其中随机SQL可能是一个问题:因为保护数据库太难了，让数据库保护自己吧!不同的用户具有不同的角色/权限。使用只读用户进行选择。对于普通SQL，这保证了这些语句中没有DML。

最佳实践:四个 db用户访问

1. developer，做一切(绝不使用作为web应用程序的连接)
2. dml -可以选择/dml在几乎所有(必须使用dml)
3. read -可以选择(用于所有选择，无论是准备的还是文本)
4. login -只能执行登录/密码功能(在登录过程中使用)

密码保护:

• dml和read不能访问密码数据，通过select或dml
• login只能通过受保护的函数(例如
)访问密码数据

<>之前函数login(username, password) -返回user_id命令功能set_password(usr_id, password) -设置密码之前

• 只有login可以运行login()和set_password()函数
根据您的数据库，login 可能需要sql访问密码列
• 根据你的数据库，password列可以保护自己;如果没有，那么应该从user表移到它自己的安全表
中。

在mysql中使用管理员工具进行设置，花费了大约30分钟，包括编写登录函数和拆分密码列的时间。

if(in_array($_GET['order'],$list_of_rows)){
   $order=$_GET['order'];
}

var params = {
  w: where,
  o: order
}
$.post(url,params,function(result){...}, 'json');

$where = isset($_POST['w']) ? json_decode($_POST['w') : array();
if (!empty($where)) {
  foreach ($where as $field => $data) {
     // validate that field exists
     // validate that operator is valid
     $sql .= sprintf('%s %s "%s"', $field, $data->operator, mysql_escape_string($data->value));
  }
}