SQL预编译中order by后为什么不能参数化原因

于 2023-10-23 18:39:42 发布
阅读量417 收藏
点赞数
文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45945976/article/details/133996162
版权

SQL预编译中order by后为什么不能参数化原因

以Golang为例进行说明

package main

import (
	"database/sql"
	"fmt"
	"log"

	_ "github.com/go-sql-driver/mysql" // Import MySQL driver
)

func main() {
	// 数据库连接信息
	db, err := sql.Open("mysql", "username:password@tcp(localhost:3306)/dbname")
	if err != nil {
		log.Fatal(err)
	}
	defer db.Close()

	// 查询的参数
	userID := 123

	// 准备查询语句,使用占位符
	query := "SELECT username, email FROM users WHERE id = ?"
	rows, err := db.Query(query, userID)
	if err != nil {
		log.Fatal(err)
	}
	defer rows.Close()

	for rows.Next() {
		var username, email string
		if err := rows.Scan(&username, &email); err != nil {
			log.Fatal(err)
		}
		fmt.Printf("Username: %s, Email: %s\n", username, email)
	}
}

db.Query(query, userID)会自动给值加上引号。比如假设id=“1”,那么拼凑成的语句会是SELECT username, email FROM users WHERE id ='1'

再看order by,order by后一般是接字段名,而字段名是不能带引号的,比如 order by id;如果带上引号成了order by ‘id’,那username就是一个字符串不是字段名了,这就产生了语法错误。

所以order by后不能参数化的本质是:一方面预编译又只有自动加引号的db.Query()方法,没有不加引号的方法;而另一方面order by后接的字段名不能有引号。

更本质的说法是:不只order by,凡是字符串但又不能加引号的位置都不能参数化;包括sql关键字、库名表名字段名函数名等等。

不能参数化位置的防sql注入办法

不能参数化的位置,不管怎么拼接,最终都是和使用“+”号拼接字符串的功效一样:拼成了sql语句但没有防sql注入的效果。

但好在的一点是,不管是sql关键字,还是库名表名字段名函数名对于后台开发者来说他的集合都是有限的,更准确点应该说也就那么几个。

这时我们应可以使用白名单的这种针对有限集合最常用的处理办法进行处理,如果传来的参数不在白名单列表中,直接返回错误即可。

代码类似如下:

package main

import (
	"database/sql"
	"log"

	_ "github.com/go-sql-driver/mysql"
)

func main() {
	db, err := sql.Open("mysql", "user:password@tcp(localhost:3306)/dbname")
	if err != nil {
		log.Fatal(err)
	}
	defer db.Close()

	// 假设输入的排序列是由用户提供的
	userInput := "columnName" // 假设用户输入
	orderBy := "id"          // 默认排序列

	// 验证用户提供的排序列是否是允许的列,避免注入
	allowedColumns := map[string]bool{"columnName": true, "columnName2": true, "columnName3": true} // 列出所有允许的列名
	if _, ok := allowedColumns[userInput]; !ok {
		log.Fatal("Invalid input for order by")
	}

	// 使用预编译语句
	stmt, err := db.Prepare("SELECT * FROM table_name ORDER BY " + userInput)
	if err != nil {
		log.Fatal(err)
	}
	defer stmt.Close()

	// 执行查询
	rows, err := stmt.Query()
	if err != nil {
		log.Fatal(err)
	}
	defer rows.Close()

	// 处理结果
	for rows.Next() {
		// 处理每一行的数据
	}
	if err = rows.Err(); err != nil {
		log.Fatal(err)
	}
}
内蒙古打野
关注
面试时遇到order by注入我直接懵了
hackzkaq的博客
03-18 874
零基础学白帽黑客,搜公众号:白帽子左一。
jemeter mysql 参数化_Jmeter的JDBC Request,sql参数化及返回值取值
weixin_42131790的博客
01-27 1054
1.JDBC Request面板Variable Name:数据库连接池的名字,需要与JDBC Connection Configuration的Variable Name Bound Pool名字保持一致Query:填写的sql语句未尾不要加“;”Parameter values:参数值Parameter types:参数类型Variable names:保存sql语句返回结果的变量名Resul...
order by 的列名不能参数化,要拼sql
weixin_30242907的博客
06-17 240
from T_COMPANY c join T_COMPANY_POSITION p on c.ID = p.COMPANYID order by :type desc nulls last; 最初不知道不能这样,调试百度弄了好久,终于知道了order by列名(不能为参数) 那么要根据不同选择显示不同的排序结果,就只能拼sql。 if (type == "热门职位") ...
[MYSQL]浅析ORDER BY
u013657993的专栏
12-11 380
目录 全字段排序 假设背景信息如下: 查询排序步骤: rowId排序 查询排序步骤 小结 一般执行计划存在 using filesort就表示是要排序了 全字段排序 假设背景信息如下: 表t (包含字段 id a b c d e) 查询sql select cfrom t where a = 'x' order by b desc 查询排序步骤: 1.从引擎取满足a=‘x’的所有记录(二级索引找到ID,再到对应的主键索引取捞数据) 2.把记录ab...
order by后为什么不能参数化原因
HRay's blog
12-14 2994
注:sql注入的防御手段主要为预编译,但是预编译orderby,表名、列名都不生效,所以在orderby的位置测试sql注入往往成功率比较高,原因参考下面文章,这里给出结论"order by后不能参数化的本质是:一方面预编译又只有自动加引号的setString()方法,没有不加引号的方法;而另一方面order by后接的字段名不能有引号。" 感兴趣的可以看完整的分析文章SQL预编译order by后为什么不能参数化原因 - 诸子流 - 博客园 ...
mysql语句ORDER BY列不能参数化
无痕的博客
12-18 848
sortfields={ 0:"hostname", 1:"lasttime", 2:"vendor", 3:"softname", 4:"softversion", 5:"filename", 6:"fileversion", 7:"sha1", 8:"out_ip", 9:"os", 10:"manufa...
SQL参数化排序详解
soarheaven的专栏
10-22 2020
编写一个储存过程usp_GetSortedShippers,它接收Northwind数据库Shippers表的一个列名称作为其一个输入(@colname),并从该表返回按输入的列名排序的行。另一个输入(@sortdir)表示排序的方向,‘A’表示按升顺排序,‘D’表示按降序排序。编写该存储过程时要注意它的性能,即,尽可能的使用索引(例如,排序列上的聚集或非聚集覆盖索引)。 代码清单7-4是
参数化查询为什么能够防止SQL注入
总有些事,值得你去努力
07-19 6481
很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。 本文主要讲述的是这个问题,也许你在部分文章看到过这块内容,当然了看看也无妨。   首先:我们要了解SQL收到一个指令后所做的事情: 具体细节可以查看文章:Sql Server 编译、重编译与执行计划重用原理 在这里,我简单的表示为: 收到指令 -> 编译SQL生成执行计划...
【MyBatis 1】SQL注入,springboot基础教程
m0_61043429的博客
12-19 1026
数据类型检查,sql执行前,要进行数据类型检查,如果是邮箱,参数就必须是邮箱的格式,如果是日期,就必须是日期格式; 只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式,这样很大程度上可以避免SQL注入攻击。 如果上述例子id是int型的,效果会怎样呢?无法注入,因为输入注入参数会失败。比如上述的name字段,我们应该在用户注册的时候,就确定一个用户名规则,比如5-20个字符,只能由大小写字母、数字以及汉字组成,不包含特殊字符。此时我们应该有一个函数来完成统一
sql注入order by
09-14
SQL注入是一种常见的网络攻击技术,通过在SQL查询...为了防止SQL注入,我们应该对用户输入进行严格验证和过滤,使用参数化查询或预编译语句,并限制数据库用户的权限。同时,使用Web应用程序防火墙可以提供额外的保护。
Order By 排序条件带参数的写法(Oracle数据库、MyBatis)
愿我如星君如月 ... 夜夜流光相皎洁 ...
11-30 8692
Order By 排序条件带参数的写法(Oracle数据库、MyBatis)
SQL语句使用order by不起作用
风也温柔☆的博客
05-01 1009
3.1、#{}和${}这两个语法是为了动态传递参数而存在的,是Mybatis实现动态SQL的基础,总体作用一致(为了动态传参)1、今天遇到一个bug,前端传了一个参数V到后端,但是sql语句接收到前端传递的参数V不起作用。3.3、${}动态获取id时,sql语句的打印显示的是一个“1”,没有占位符,直接显示。3.2、#{}动态获取id时,sql语句的打印显示的是一个“?order by 后面 用 ${v}3、下面说下#{} 和 ${}的区别。2、解决方法:#{v}换成${v}
MyBatis排序时使用order by 动态参数时需要注意,用$而不是#
热门推荐
03-19 3万+
字符串替换 默认情况下,使用#{}格式的语法会导致MyBatis创建预处理语句属性并以它为背景设置安全的值(比如?)。这样做很安全,很迅速也是首选做法,有时你只是想直接在SQL语句插入一个不改变的字符串。比如,像ORDER BY,你可以这样来使用: ORDER BY ${columnName} 这里MyBatis不会修改或转义字符串。 重要:接受从用户输出的内容并提供给语句不变的字符串
MySQL子查询order by失效问题
晨曦的博客
12-10 3192
在编写SQL语句时需要对查询结果进行排序,如果子查询可以先使用 order by 排序后再进行连接查询,和先进行连接查询后再对查询结果排序,这两种方式的效率是不一样的,明显前一种的效率高一些,而再MySQL 8.0版本以后,子查询的 order by 排序可能会失效。大概意思:在SQL标准,table的定义是一个未排序的数据集合,而一个SQL子查询是一个临时的table,根据这个定义,子查询order by会被忽略。
SQL注入——预编译CASE注入
来日可期的博客
09-25 1792
预编译 CASE(Prepared CASE)是一种数据库查询语言(如SQL的控制语句,它可以根据条件表达式的值来选择执行不同的语句块,类似于编程语言的 switch 语句。预编译 CASE 注入则是一种基于预编译 CASE 语句的安全漏洞攻击。预编译 CASE 注入攻击的漏洞原理与其他类型的注入攻击相似,即攻击者尝试构造特定的输入数据来绕过应用程序的输入验证和过滤机制,从而能够执行未经授权的操作或获得敏感信息等。在预编译 CASE 注入攻击,攻击者通常会针对应用程序存在的具有条件判断语句
Java预编译一些场景下的局限.md
god_Zeo的安全博客
03-12 2648
Mybatis框架 #的$的区别 #号会点语句进行预编译 ${ } 只是进行string 替换,动态解析SQL的时候会进行变量替换 预编译一些场景下的局限 表名作为变量时,需使用拼接 select * from `user` select * from 'user' #报错,表名不能使用单引号 order by后需要使用拼接 select * from user order by name select * from user order by 'name' # 语义发生改变,没有排序的
ORDER BY实现排序操作 [MySQL][数据库]
m0_57001006的博客
03-10 1036
ORDER BY实现排序操作 注意: 我们的排序操作也是属于查找操作的一部分 我们在MySQL使用ORDER BY子句来实现排序操作 ASC(ascend) : 升序 DESC(descend) : 降序 注意: 这里的DESC和我们前面的显示表结构的DESC不是一个意思,这里的DESC的全称是:descend,表示的含义是降序的意思,但是我们的显示表结构的DESC的全称是:describe是指的描述,显示的意思 ORDER BY字句在SELECT查询语句的末尾,但是当我们的SELECT子句
java sql 预编译 orderby
lin___的博客
06-21 3102
今天做功能的时候做到排序,然后 写sql  String sql= "select * from t_student order by :a"; 然后下面用            SQLQuery query = session.createSQLQuery(sql); String name = "stu_name";           query.setString("a", na
sql注入order by
最新发布
04-30
SQL注入,"ORDER BY"是一种常用的攻击手法之一。它通常用于利用应用程序对SQL查询结果的排序方式进行操作,从而获取额外的信息或者绕过安全措施。 "ORDER BY"子句用于对查询结果进行排序。它可以按照一个或多个列进行排序,并指定升序(ASC)或降序(DESC)。在正常情况下,应用程序会根据用户的选择或者默认设置来构建"ORDER BY"子句。 然而,在SQL注入攻击,攻击者可以通过构造恶意输入来修改"ORDER BY"子句,以达到他们的目的。以下是一些常见的SQL注入的"ORDER BY"攻击技巧: 1. 利用错误消息:攻击者可以通过在"ORDER BY"子句使用不存在的列名或者无效的排序方式来触发错误消息。这些错误消息可能会泄露数据库的结构信息,如表名、列名等。 2. 盲注攻击:攻击者可以通过使用布尔逻辑来判断某个条件是否成立,从而逐位地猜测查询结果。例如,通过使用"ORDER BY"子句来判断某个列的值是否大于或小于某个特定值。 3. 时间延迟攻击:攻击者可以通过在"ORDER BY"子句使用时间延迟函数,如SLEEP()或BENCHMARK(),来延长查询的执行时间。这可以用于判断某个条件是否成立,或者用于拖慢应用程序的响应时间。 为了防止SQL注入攻击的"ORDER BY"攻击,开发人员应该采取以下措施: 1. 使用参数化查询或预编译语句:这可以防止攻击者通过注入恶意代码来修改"ORDER BY"子句。 2. 输入验证和过滤:对用户输入进行严格的验证和过滤,确保只允许合法的输入。 3. 最小权限原则:将数据库用户的权限限制在最小必需的范围内,以减少攻击者可以利用的漏洞。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值