PL/SQL的SQL注入

最新推荐文章于 2022-08-23 17:04:04 发布
最新推荐文章于 2022-08-23 17:04:04 发布
阅读量382 收藏
点赞数
分类专栏: oracle 文章标签: SQL Oracle 企业应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_5360/article/details/81826148
版权

SQL注入,一个老掉牙的安全问题,有SQL的地方就会有SQL注入。一般做企业应用的只关注Java层面的编写规范,比如使用preparedStatement,或者干脆直接过滤掉危险字符等等。

其实在编写PL/SQL的function或procedure的时候,也存在注入的问题,我们来简单探讨一下。

 

例如有这样一个procedure,功能为禁用某个table的constraint:

CREATE OR REPLACE PROCEDURE Disable_Constraint  ( p_constraint_name  VARCHAR2, p_table VARCHAR2 ) 
AUTHID CURRENT_USER
AS
         p_schema VARCHAR2(32) := USER;
         sql_stmt VARCHAR2(2000) := 'ALTER TABLE ' 
                                 || p_schema
                                 || '.'
                                 || p_table
                                 || ' DISABLE CONSTRAINT '
                                 || p_constraint_name ;
BEGIN
   EXECUTE IMMEDIATE sql_stmt;
END;
/

了解SQL注入的同学应该可以看出来,上面的procedure存在几个危险的变量:

1. p_table

2. p_constraint_name

3. p_schema

前两者容易发现,但为什还有p_schema呢?因为当前的USER名字也有可能是用户构造的危险字符串。

 

好了,根据一般规律,我们应该遵循以下顺序进行修改:

1. 静态SQL。能不使用变量就不使用。

2. 绑定变量。与Java中的PreparedStatement类似,不把数据直接拼接在sql里,而是存入变量中,直接被数据库使用。

3. 检查变量的值。

显然,前两个方法对这个procedure不适用。我们只能使用最不爽的第3个方法。

 

好在对于PL/SQL来说,我们不用自己编写复杂的字符判断。Oracle有个SYS.DBMS_ASSERT包,提供了一些预置的function,如下:

 

  
NOOP No Operation. Returns string unchanged
SIMPLE_SQL_NAME Verify that the input string is a simple SQL name.
QUALIFIED_SQL_NAME Verify that the input string is a qualified SQL name.
SCHEMA_NAME This function verifies that the input string is an existing schema name.
SQL_OBJECT_NAME This function verifies that the input parameter string is a qualified SQL identifier of an existing SQL object.
ENQUOTE_NAME This function encloses a name in double quotes.
ENQUOTE_LITERAL Add leading and trailing single quotes to a string literal.

(请参考:http://download.oracle.com/docs/cd/B28359_01/appdev.111/b28419/d_assert.htm

 

在执行这些function时,如果传入的变量不满足规定的格式或条件,则会抛异常,从而保护我们自己的procedure不被SQL注入。

 

我们判断这些方法是否可用:

1. SIMPLE_SQL_NAME, QUALIFIED_SQL_NAME

    这些方法要求用户出入的参数本身是一个有效的sql名字。比如,如果有个table名为"Table One",那么就要求传入的值中包含双引号。使用这些方法存在一个问题,直接从data-dictionary读取出来的table名字是不带双引号的。如果用户直接从data-dictionary中读取table名字,然后直接传入我们的procedure,则会因为它不满足simple sql name的要求而抛异常,但实际上这个table名字应该是正确的。所以不能直接使用这些function。

 

2. SCHEMA_NAME, SQL_OBJECT_NAME

    这些方法要求传入的参数值是数据库中已经存在的对象名字。如果数据库中本来有个table名为 "Table One",那么如果用户传入Table One,则被视为正确。使用这些方法,避免了第一个方法的data-dictionary问题,而且也能够避免遭受类似table' -- 的问题。但存在所谓二次攻击的问题。如果用户提前创建了一个包含危险字符的table,然后再调用我们的procedure,依旧会造成SQL注入。

 

3. ENQUOTE_NAME, ENQUOTE_LITERAL

    这些方法直接把参数的值用双引号或单引号括起来。如果括起来之后的值本身还存在危险的话,会抛异常。对于我们举例的procedure来说,只需要使用ENQUOTE_NAME。ENQUOTE_NAME需要两个参数,一个是需要enquote的变量,另一个为是否转换为大写。现在,对于我们的procedure,应该使用ENQUOTE_NAME(p_table, FALSE),保证Table One不被转换为"TABLE ONE"。

    这是我们的最终解决方案。但需要注意的是,由于使用了ENQUOTE_NAME,对于我们的procedure来说,table和constraint的名字对大小写敏感。如果名为table_1,则必须传入TABLE_1,否则会执行错误。

 

修改后的代码如下:

CREATE OR REPLACE PROCEDURE Disable_Constraint  ( p_constraint_name  VARCHAR2, p_table VARCHAR2 )
AUTHID CURRENT_USER
AS
         p_schema VARCHAR2(32) := SYS.DBMS_ASSERT.ENQUOTE_NAME(USER, FALSE);
         sql_stmt VARCHAR2(2000);
         safe_table VARCHAR2(32);
         safe_constraint VARCHAR2(32);
BEGIN
	safe_table := SYS.DBMS_ASSERT.ENQUOTE_NAME(p_table, FALSE);
	safe_constraint := SYS.DBMS_ASSERT.ENQUOTE_NAME(p_constraint_name, FALSE);
	sql_stmt := 'ALTER TABLE ' 
                                 || p_schema
                                 || '.'
                                 || safe_table
                                 || ' DISABLE CONSTRAINT '
                                 || safe_constraint ;

   EXECUTE IMMEDIATE sql_stmt;
END;

/

 

 

iteye_5360
关注
专栏目录
Oracle PL/SQL常用47个工具包
12-22
9. **绑定变量**:绑定变量提高了SQL语句的可重用性和安全性,防止了SQL注入攻击。在PL/SQL中,可以使用":"符号定义变量并将其绑定到SQL语句中。 10. **性能优化**:PL/SQL提供了诸如分析和优化SQL语句、使用索引、...
sql注入
weixin_42875773的博客
05-19 635
文章目录一、什么是sql注入?二、思路1.找寻注入点2.判断是否存在注入3.判断字段数4.查找显错位总结 一、什么是sql注入sql注入原理:sql注入就是把用户的输入当作sql代码去执行,攻击者可以假设场景利用数据库的一些特性进行攻击。 二、思路 1.找寻注入点 url header 表单提交 2.判断是否存在注入 代码如下(示例): 4. and 1=1 5. and 1=2 6. 使用运算符 7. sleep 3.判断字段数 order by 4.查找显错位 联合查询 uni
反恐精英之动态SQLSQL注入-SQL注入-防卫SQL注入-验证检查
cmff98425的博客
02-16 131
通常应用程序应该验证用户的输入,以确保输入的内容是所希望的。 例,如果用户为delete语句传入部门编号,可以从departments表中做查询来验证输入的部门编号; 如果用户输入删除的表名,则...
oracle pl sql 漏洞,Oracle数据库安全:PL/SQLSQL注入
weixin_36231529的博客
04-13 283
SQL注入,一个老掉牙的安全问题,有SQL的地方就会有SQL注入。一般做企业应用的只关注Java层面的编写规范,比如使用preparedStatement,或者干脆直接过滤掉危险字符等等。其实在编写PL/SQL的function或procedure的时候,也存在注入的问题,我们来简单探讨一下。例如有这样一个procedure,功能为禁用某个table的constraint:CREATEORRE...
oracle pl sql 漏洞,Oracle Database PL/SQL Statement Multiple SQL Injection Exploits
weixin_42361608的博客
04-13 127
/*Advanced SQL Injection in Oracle databasesBecoming the SYS user with SQL Injection.This script creates functions that can be injected to replacethe password of the SYS user and to restore it to the ...
Oracle工具包使用规则整理
翼幻幻幻幻的博客
08-23 823
Oracle工具包使用规则整理
pl sql web design.rar_oracle_pl sql_pl/sql_web sql
09-19
确保对PL/SQL过程的调用经过适当的验证和授权,防止SQL注入攻击和其他恶意行为。使用绑定变量和预编译语句可以有效防御此类攻击。 4. **事务管理**:网上商店涉及大量的数据库操作,如添加购物车、结算订单等,这些...
64位 PL/SQL 12
03-25
4. 安全性:遵循最小权限原则,为应用程序分配合适的数据库权限,避免SQL注入攻击。 总的来说,64位PL/SQL 12结合CX_ORACLE,为Windows 7用户提供了高效且强大的Oracle数据库开发和管理工具。通过深入理解这些工具...
Oracle数据库开发工具PL/SQL
10-31
- **安全性**:在编写和执行PL/SQL代码时,确保遵循最佳安全实践,避免SQL注入等风险。 - **性能优化**:合理使用索引、物化视图、并行执行等技术,提升查询速度。 - **错误处理**:利用异常处理机制,捕获并处理...
sql注入和防SQL注入
07-06
SQL注入,详细讲解如何进行sql注入和如何防止sql注入,非常实用,推荐给大家,希望大家喜欢
pl/sql命令技巧
05-10
pl/sql 最基本的使用命令,便于记忆,整理了一下,以后再补充
PLSQL developer破解版-sql注入防范
徐长亮的专栏
12-09 2823
执行plsqldev906.exe开始安装为例 解压之后: 执行plsqldev906.exe开始安装。安装目录为:%ORACLE_BASE%\plsqldev,和oracle 11g安装到同一个基目录下面 在安装目录C:\software\Oracle\plsqldev中找到AfterConnect.sql和login.sql 发现: 发现AfterCo
SQL注入攻击(ORACLE)---之sql条件注入浅谈
guomainet309的专栏
09-12 9454
针对Oracle数据库的SQL注入攻击主要有下面4类:       1、SQL篡改       2、代码注入       3、函数调用注入       4.、缓冲区溢出 前面两类攻击:SQL篡改和代码注入,读者应该了解,因为他们是针对所有类型数据库(包括SQL Server、MySQL、PostgreSQL和 Oracle)的攻击中经常被人说起到攻击方法。        SQL篡改
Oracle SQL 注入
prahs的专栏
07-14 8921
Oracle SQL 注入本文主要总结在Oracle注入中的步骤方法和注意事项: 参考了:http://www.freebuf.com/articles/web/5411.html 注入常用语句 常用步骤 注意事项 常用步骤1 找注入点 用单引号’之类的触发报错 用or 1=1, or 1=2之类的观察反馈 2 判断数据库类型 oracle 支持– 类型注释,但是不支持;分隔执行多语句,orac
使用盗版/破解版的 PL/SQL 工具存在对数据库注入病毒的风险
【欢迎关注公众号:冬瓜白】
12-06 2293
推荐大家使用官方提供的免费版本的客户端工具,如 SQL developer :http://www.oracle.com/technetwork/developer-tools/sql-developer/downloads/index.html。或开源免费的数据库客户端工具,如 DBeaver 社区版 :https://github.com/dbeaver/dbeaver/releases  ...
最详细SQL注入教程
热门推荐
学习探讨博客
10-24 4万+
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。  SQL注入是从正常的WWW端口访
PLSQL Language Referenc-PL/SQL动态SQL-SQL注入-SQL注入技术-语句修改
cmff98425的博客
03-28 123
SQL注入 SQL注入是在SQL语句中对使用客户端提供数据的应用程序的一种恶意的探测, 目的是获取对数据库的非授权的访问来查看或操纵限制的数据。 ...
金仓数据库 KingbaseES PL/SQL 过程语言参考手册(8. PL/SQL动态SQL
arthemis_14的博客
08-18 991
动态 SQL 是一种用于在运行时生成和运行 SQL 语句的编程方法。在编写诸如临时查询系统之类的通用且灵活的程序时,在编写必须运行数据库定义语言 (DDL) 语句的程序时,或者当您在编译时不知道SQL语句的全文或编号或其输入和输出变量的数据类型时,它很有用。PL/SQL 提供了两种编写动态 SQL 的方法: - Native dynamic SQL,一种 PL/SQL 语言(即本机)的功能,用于构建和运行动态 SQL 语句 - DBMS_SQL包,用于构建、运行和描述动态 SQL 语句的 API。...
精通PL/SQL实践指南
动态SQLPL/SQL中的一个强大工具,但也需要谨慎使用,以防止SQL注入等安全问题。 第3章"PL/SQL与并行处理"(PL/SQL and Parallel Processing)讨论了如何利用Oracle数据库的并行执行能力来加速PL/SQL程序,提高大...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值