Oracle 存储过程 字符串拼接 SQL注入的问题

最新推荐文章于 2021-04-04 15:24:34 发布
最新推荐文章于 2021-04-04 15:24:34 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: SQL注入 SQL字符串拼接 文章标签: 数据库 Oracle SQL字符串拼接
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paohui001lqp/article/details/113588434
版权

之前项目中写的一个大的存储过程 中间用到的SQL字符串拼接的方法 来完成业务的流程 类似SQL的动态拼接把

 

为什么要有用到这种形式 因为我这个存储过程里面要处理 至少三个系统的六种情况 所以使用拼接的方式是最容易想到的

 

存储过程大概意思 先将查询到的数据存放到临时表中 然后再对临时表的数据做遍历,这里不说这个了

 

直接正题: (以对数据做处理) 之前都是这样直接写的

但是这有个严重的问题 就是用字符串拼接的方法实现的sql , 如果传入的参数 是非法的 如(or ' 1=1 --)很容易造成SQL注入的问题

   V_SQL := ' INSERT INTO TEMP_Table(t1,t2,t3,t4,t5,t6)
                select
                       .....
                from USER_BASIC ub
                        left join ......
                where ud.xxxx = ''xxx''';

                --传入LK_QUERY_USER_ID
                IF LK_QUERY_USER_ID IS NOT NULL THEN
                    V_SQL := V_SQL || ' and ub.USER_ID like ''%' || LK_QUERY_USER_ID || '%''' ;
                end if;
                   
                -- 过滤不需要返回的人员  属于正则表达式分割
                    IF LK_FORWARD_USER IS NOT NULL THEN
                        V_SQL := V_SQL || ' and ub.USER_ID not in (
                SELECT REGEXP_SUBSTR( ''' || LK_FORWARD_USER || ''', ''[^,]+'', 1, ROWNUM) userId
                FROM DUAL
                CONNECT BY ROWNUM <=
                           LENGTH(''' || LK_FORWARD_USER || ''') -
                           LENGTH(REGEXP_REPLACE(''' || LK_FORWARD_USER || ''', '','', '''')) + 1)';
                    end if;
                    
                    
                 --过滤掉当前操作人
                   IF LK_USER_ID IS NOT NULL THEN
                       V_SQL := V_SQL || 'and ub.USER_ID !=''' || LK_USER_ID || '''';
                   end if;   

                   --执行操作
                   execute immediate V_SQL;

处理方法

第一 最简单的 方法 我认为是 用Java程序对传入的参数 进行校验 符合规则的才能让其调用存储过程 否则不能调用 这就解决了 sql注入的大部分问题 当然 这不是 今天的主题...

 

防止SQL注入的方法

因为我是使用的是  execute immediate V_SQL; 执行的

这里就不得不说一下 execute immediate 的特性了

用法3
    v_sql:= ' select t.user_id FROM sys_users t where t.user_name = :1';
    execute immediate v_sql into v_dname using v_item ;
    
用法4
    v_sql := 'BEGIN :1 := ' || 'sys_users_pkg.get_user_id' || '(:2,:3,:4,:5);END;';
  execute immediate v_sql using out v_user_id, in p_user_name, in p_password, 
    in p_parameter_other_1, p_parameter_other_2;
  • :1,:2 这样的字符代表占位符,在v_sql整个字符串中它代表的意义是需要等待指定的,我们可以使用using关键字指定 占位符 上是什么。
  • in 和 out 是 输入/输出的意思,in是默认的参数类型可以省略
  • 使用了using 但是没使用 in 或者out 关键字 那就是 in类型。
  • using aa 等价于 using in aa
  • using out aa 使用aa这个变量或字面量(没打错)去替换对应位置的占位符

 

懂了吧 知道怎么去 处理注入的问题了把 我们可以利用 using xxx 这个特性 将 入参 当成占位符处理 类似 mybatis 中的 #{}

 

代码

一定要主意using 后面的顺序 按照你的sql 的前后顺序来的

 

我这里 使用了LK_NUMBER 变量 来判断 需要 使用多少的变量 为了区分各种情况把

 

 --过滤掉当前操作人
                   
            -- 过滤不需要返回的人员  属于正则表达式分割
            IF LK_FORWARD_USER IS NOT NULL THEN
                LK_NUMBER := LK_NUMBER + 4;
                V_SQL := V_SQL || 'and ub.USER_ID NOT in (
                SELECT REGEXP_SUBSTR(:LK_FORWARD_USER, ''[^,]+'', 1, ROWNUM) userId
                FROM DUAL
                CONNECT BY ROWNUM <=
                           LENGTH(:LK_FORWARD_USER) -
                           LENGTH(REGEXP_REPLACE(:LK_FORWARD_USER, '','', '''')) + 1)';
            end if;
                   
                    --用户ID过滤
                   IF LK_USER_ID IS NOT NULL THEN
                        V_SQL := V_SQL || 'and ub.USER_ID != :LK_USER_ID ';
                    end if;

                    --查询ID 过滤
                    IF LK_QUERY_USER_ID IS NOT NULL THEN
                        LK_NUMBER := LK_NUMBER + 1;
                        V_SQL := V_SQL || 'and ub.USER_ID like concat(''%'',concat(:LK_QUERY_USER_ID,''%''))';
                    end if;
                    
                    
                if LK_NUMBER = 0 then
                    execute immediate V_SQL using LK_USER_ID;
                elsif LK_NUMBER = 1 then
                    execute immediate V_SQL using LK_USER_ID,LK_QUERY_USER_ID;
                elsif LK_NUMBER = 4 then
                    EXECUTE immediate V_SQL using LK_FORWARD_USER,LK_FORWARD_USER,LK_FORWARD_USER,LK_USER_ID;
                elsif LK_NUMBER = 5 then
                    EXECUTE immediate V_SQL using LK_FORWARD_USER,LK_FORWARD_USER,LK_FORWARD_USER,LK_USER_ID,LK_QUERY_USER_ID;
                end if;

这样就完成了 拼接sql 注入的问题

paohui001lqp
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
 oracle存储过程动态sql单引号拼接和变量拼接
下雨天看彩虹
10-20 7680
oracle存储过程单引号拼接和变量拼接 1.单引号的作用:在oracle中单引号主要有两个作用,一是字符串都用单引号引用,例如'abc';二是转义符,转义符在使用时一般会出现多个连在一起的单引号,相对难理解一些。下面举例说明。 实例1:select '''' from dual; 实例1结果: 实例2:select 'oracle''' from dual; 实例2结果: 说明:实例1中第一个和第四个单引号是成对出现的,作用是把字符串引起来;第二个单引号表示转义符号,第三个单引号表示被转义的.
Oracle 存储过程sql拼接(多个单引号理解)
bryce的博客
11-18 2831
存储过程中动态sql拼接的两种写法 单引号 IN_PROTOCOL_VERSION:= '1'; OPEN p_cur FOR SELECT * FROM ACS_CMS_TRANSACTION WHERE 1=1 AND (PROTOCOL_VERSION like '%'||IN_PROTOCOL_VERSION||'%'); 三引号 IN_PROTOCOL_VERSION:= '1'; sqls:='SELECT * FROM ACS_CMS_TRANSACTION WHER
oracle call 存储过程 带out_详解oracle分页存储过程---附实例分享
weixin_39820226的博客
12-06 269
概述网上有很多实现分页的存储过程,刚好项目有这方面需求,顺便做个总结,记录下做备忘!下面基于Oracle11g环境。需求:编写一个存储过程,要求可以输入表名、每页显示记录数和当前页,返回总记录数、总页数和结果集1、oracle的分页写法select t1.*,rownum rn from (select * from emp) t1;select t1.*,rownum rn from (sele...
oracle过程防止sql注入,oracle存储过程防止sql注入的有关问题
weixin_39996134的博客
04-04 469
SQL codeCREATE OR REPLACE function certificatefunction1(projectstate in int,projectname in varchar,startDateMin in varchar,startDateMax in varchar,endDateMin in varchar,endDateMax in varchar,certifica...
oracle 存储过程 执行 sql 字符串字符串拼接 问题 ORA-00972查询时报错原因之一
weixin_42896618的博客
06-03 1340
存储过程中使用EXECUTE IMMEDIATE或者 OPEN 游标 FOR 的方式执行sql字符串时,对于字符串的控制要妥当。 CREATE OR REPLACE PROCEDURE TEST_20200603( NM_IN VARCHAR; RESULT_CURSOR OUT CURSOR ....... ) IS V_SQL VARCHAR(2000); BECIN V_SQL :='SELECT * FROM TAB t WHERE t.nm ='||NM_IN; OPEN RESULT_C
OracleSQL注入
素心侠气的博客
07-21 2496
百度百科对SQL注入的描述是这样的:“用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。”这有点含混不清,到底如何“提交一段数据库查询代码”呢?         其实SQL注入是一种安全漏洞,假设应用程序如果接受终端用户的SQL输入,那么在输入中拼接一部分SQL代码后传递给应用,应用就会给出终端用户本来没有权限查看的
Oracle也有注入漏洞
12-16
2. 使用预编译的SQL语句或存储过程,减少直接拼接SQL字符串的风险。 3. 设定最小权限原则,确保应用账户只拥有执行其功能所必需的数据库权限。 4. 及时更新数据库系统和应用程序,修复已知的安全漏洞。 5. 引入输入...
SQL注入思路详解
12-14
数字型注入通常涉及加减乘除等操作,而字符型注入则可能涉及字符串拼接。 - 针对不同数据库,测试语句有所不同。例如: - Oracle:可能会使用异常触发来检测注入点,如 `'||'` 或 `'&'`。 - DB2:同样可能通过...
ORACLE LATERAL-SQL-INJECTION 个人见解
09-14
以下是一个示例存储过程`NumInjPoc`,其中字符串类型被替换以防止SQL注入,但攻击者可以利用NUMBER类型的特性绕过这一防御。当输入一个包含特殊字符的数字(如TO_NUMBER(0.10001,'999999D99999'))时,结合恶意的...
SQL_Injection_Payload:SQL注入有效负载列表
01-28
标题“SQL_Injection_Payload:SQL注入有效负载列表”表明这是一个关于SQL注入攻击中使用的特定字符串或命令集合,通常被称为有效负载。 SQL注入的有效负载是精心构造的SQL语句,旨在欺骗数据库服务器执行非授权...
浅析SQL注入.ppt
10-27
开发者应该使用PreparedStatement的setString等方法来设置参数,而不是直接将字符串拼接。例如,如果使用以下代码: ```java String sql = "SELECT * FROM foodinfo WHERE foodId = '" + id + "'"; ``` 当用户输入...
存储过程insert oracle,oracle存储过程导出INSERT INTO 语句
weixin_26749245的博客
04-04 730
前些天看到几个朋友做导出oracle中的数据,可以用PL/SQL Devoleper的和export tables功能批量将N个表的数据导出成insert into语句,但怎样用SQL语句导出呢,只有用sql构造出来,以下是我用存储过程实现的代码create or replace package PK_EXPORT_TABLE is type result is ref cursor;end ...
oralce存储过程拼接sql字符串,并执行sql字符串给变量赋值
热门推荐
BraveHeart568的博客
07-10 1万+
之前写存储过程,用到的sql都是相对固定的,最多就是往sql里传几个值。最近遇到需要在存储过程里面动态拼接sql。 其实挺简单,先定义sql_str变量,然后给其赋一个sql字符串的值: sql_str := 'select count(*)  from amc_fwsp_sap_voucher_v t                where t.usnam = '''||userno||
oracle存储过程的调用(insert 语句的存储过程
04-10 1万+
//存储过程 create or replace procedure ADDDDD(      pid in number,      pname in VARCHAR2 ) is begin INSERT INTO studentto VALUES(pid,pname); end ADDDDD; #include #include #include
oracle 动态拼接,执行sql
我笔记
09-17 6715
一、静态SQL和动态SQL的概念。   1、静态SQL   静态SQL是我们常用的使用SQL语句的方式,就是编写PL/SQL时,SQL语句已经编写好了。因为静态SQL是在编写程序时就确定了,我们只能使用SQL中的DML和事务控制语句,但是DDL语句,以及会话控制语句却不能再PL/SQL中直接使用,如动态创建表或者某个不确定的操作时,这就需要动态SQL来实现。   2、动态SQL   动态SQL是指在PL/SQL编译时SQL语句是不确定的,如根据用户输入的参数的不同来执行不同的操作。编译程序对动态语句
ORACLE存储过程使用execute immediate执行动态SQL
mypowerhere的专栏
11-16 1641
使用execute immediate 动态sql拼接 a.intorgcode = '''||para_intorg1(l)||''' a.item = '||para_item(j)||' max(x.'||para_sub_item(k)||') 其他 使用动态游标 参考:https://www.cnblogs.com/hanruyue/p/5974036.html ...
sqlserver存储过程拼接sql语句,执行报错“列名无效”
haha57的博客
03-26 5223
今天写存储过程,遇到一个问题,具体如下:需求是要统计一张报表,这张表的列不固定,因此在存储过程里做插入语句的时候,就用到了sql语句拼接再执行。这里拼接的insert语句是set @sql= 'insert into ##tn(prj) values('+@pzid+')' 如果按照上述语句执行就会报错“列名无效”;改为 set @sql= 'insert into ##tn(prj) va...
Oracle字符串拼接循环,Oracle字符串拼接
weixin_36048838的博客
04-03 652
create or replace procedure proc_query_prior_departmentisCursor department_list_nosub isselect dep.id,dep.name,dep.parencreate or replace procedure proc_query_prior_departmentisCursor department_list_...
oracle拼接insert语句
lshcsdn的博客
08-07 1817
INSERT ALL INTO tb_red VALUES(1000, 8001, '2016-10-10 10:59:59', 1, 8001, '测试用户1000', '红名单0', '男', '膜法学院', '被测')  INTO tb_red  VALUES (1001, 8001, '2016-10-10 11:00:00', 2, 8001, '测试用户1001', '红名单1', '
oracle存储过程字符串变量拼接字符串
最新发布
08-15
以下是一个示例存储过程,演示了如何拼接字符串变量: ```sql CREATE OR REPLACE PROCEDURE concat_strings AS v_string1 VARCHAR2(100) := 'Hello'; v_string2 VARCHAR2(100) := 'World'; v_result VARCHAR2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值