数据蒋堂 | 报表工具的SQL植入风险

2024-04-13 23:32

本文主要是介绍数据蒋堂 | 报表工具的SQL植入风险,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

640?wx_fmt=png

作者:蒋步星

来源:数据蒋堂

本文共2600字,建议阅读10分钟
报表开发人员如何规避安全漏洞问题?

640?wx_fmt=png


所有的报表工具都会提供参数功能,主要都是用于根据用户输入的查询条件来选取合适的数据。比如希望查询指定时间段的数据,就可以把时间段作为参数传递给报表,报表在从数据库中取数时将这些参数应用到取数SQL的WHERE条件上,就可以根据不同参数取出不同数据来呈现了。不过,这样做要求事先把查询条件的规格做死,比如按时间段查询,那就要事先把WHERE写成 date>=? AND date<=? 的形式。这时候,如果想用地区查询就不行了,还得再造一个形如 area=? 的查询条件或报表。显然,这非常麻烦!


于是,通用查询出现了。报表工具提供一种特殊的字符串型参数,允许将其应用于替换SQL的某一部分,比如WHERE子句。界面端根据用户输入拼出合法的SQL条件串,作为参数传递给报表替换现有SQL的WHERE子句,这样就可以在同一张报表上实现不同形式的查询条件了。比如SQL可以写成:

SELECT … FROM T WHERE ${w}

其中${w}就是将来会被参数w替换的内容。按时间段查询时,可以把w拼成 date>… AND data <=…,按地区查询时则拼成area=…。当然也可以混合多条件查询拼成data>… AND date<=… AND area=…。无条件时则拼成一个永远为真的条件1=1。显然,这非常灵活了。


但是,这样做会带来严重的安全隐患。


讨论安全问题时,我们要假定前端没有任何安全性可言,也就是前端很可能被黑客劫持而送入任何可能的参数进来。假如,黑客把上面的w拼成:

1=0 UNION SELECT … FROM user

送进来。现在整个SQL语句就变成

SELECT … FROM T WHERE 1=0 UNION SELECT … FROM user

这是一句可执行的合法SQL,user表中的信息就被泄露了。


怎么补救呢?我们可以把原始SQL的条件上加上括号,写成

SELECT … FROM T WHERE (${w})

的形式。正常的条件串传进来仍然是合法可执行的,而刚才那个攻击串传进来之后,SQL将变成:

SELECT … FROM T WHERE (1=0 UNION SELECT … FROM user)

这是一句非法的SQL,会被数据库拒绝,风险似乎就没有了。


且慢,如果黑客把w拼成:

1=0) UNION SELECT … FROM user WHERE (1=1

整句SQL将变成:

SELECT … FROM T WHERE (1=0) UNION SELECT … FROM user WHERE (1=1)

还是一句可执行的合法SQL,仍然会泄露信息。


原则上,我们要假定最坏情况,要保证黑客即使知道数据库结构和报表SQL写法时,仍然无法攻击。


我们只能把这个SQL写得更复杂一些:

SELECT … FROM T WHERE (${w}) OR ${w}

正常的条件串仍然还是合法可执行的,攻击串送进来会变成:

SELECT … FROM T WHERE (1=0) UNION SELECT … FROM user WHERE (1=1) OR 1=0) UNION SELECT … FROM user WHERE (1=1

这就非法了,可以挡住这个攻击。


这个写法是不是能挡住所有的SQL植入攻击,我没有仔细证明过,试了很多可能的攻击都没问题,有兴趣的读者可以再尝试一下。


无论如何,这个SQL已经有点复杂了,而且SQL写成这样,执行效率也会受到影响,条件有时候会被执行两次(当w为假时,第二遍w会没必要地再计算一次)。但为了安全性,却没有什么好办法。


这个例子说明,想挡住SQL植入攻击并不是非常轻松的事情。这还只是把替换子句用在WHERE的部分,有时为了灵活选出字段,还可能把替换子句用到SELECT甚至FROM部分,情况就更为复杂。我想,对于相当多对安全意识还不够强的报表开发人员来讲,想到这些并且避免都不是一件容易的事,但又是一件非常重要的事。


从这个意义上讲,使用传统的参数方案(本文开头的说法)在有些时候还是相当必要的,这种方案下只能执行固定的SQL,不可能被植入,虽然条件方面不够灵活,但安全性可靠得多。有个别报表工具为了简单灵活而只提供了子句替换的方案,在选型考察时要特别加以注意,毕竟报表开发人员很可能会忽略这个问题,而这种安全漏洞又不是很容易被测试出来的,但一旦发生的后果都会很严重。


还有个办法是由报表工具提供敏感词检查,当传进来的替换子句包含某些特定词的时候将被拒绝掉,比如很少有人会用select,from这些SQL关键字作为字段名,那么,我们判断一下如果替换子句中包含有select,from这些词时,就认为受到攻击并拒绝执行。这样做会牺牲一点灵活性,有时传进来的子句真的会含有这些关键字,比如拼入SELECT或FROM部分的子句,不过这种情况相对少见,损失不大,但获得了较好的安全性。


专栏作者简介

640?

润乾软件创始人、首席科学家


清华大学计算机硕士,中国大数据产业生态联盟专家委员,著有《非线性报表模型原理》等,1989年,中国首个国际奥林匹克数学竞赛团体冠军成员,个人金牌;2000年,创立润乾公司;2004年,首次在润乾报表中提出非线性报表模型,完美解决了中国式复杂报表制表难题,目前该模型已经成为报表行业的标准;2014年,经过7年开发,润乾软件发布不依赖关系代数模型的计算引擎——集算器,有效地提高了复杂结构化大数据计算的开发和运算效率;2015年,润乾软件被福布斯中文网站评为“2015福布斯中国非上市潜力企业100强”;2016、2017年,荣获中国电子信息产业发展研究院评选的“中国软件和信息服务业十大领军人物”;2017年度中国数据大工匠、数据领域专业技术讲堂《数据蒋堂》创办者。


数据蒋堂

《数据蒋堂》的作者蒋步星,从事信息系统建设和数据处理长达20多年的时间。他丰富的工程经验与深厚的理论功底相互融合、创新思想与传统观念的相互碰撞,虚拟与现实的相互交织,产生出了一篇篇的沥血之作。此连载的内容涉及从数据呈现、采集到加工计算再到存储以及挖掘等各个方面。大可观数据世界之远景、小可看技术疑难之细节。针对数据领域一些技术难点,站在研发人员的角度从浅入深,进行全方位、360度无死角深度剖析;对于一些业内观点,站在技术人员角度阐述自己的思考和理解。蒋步星还会对大数据的发展,站在业内专家角度给予预测和推断。静下心来认真研读你会发现,《数据蒋堂》的文章,有的会让用户避免重复前人走过的弯路,有的会让攻城狮面对扎心的难题茅塞顿开,有的会为初入行业的读者提供一把开启数据世界的钥匙,有的甚至会让业内专家大跌眼镜,产生思想交锋。


数据蒋堂第二年往期回顾:

数据蒋堂 | 莫非我就是被时代呼唤的数学人

数据蒋堂 | SQL是描述性语言?

数据蒋堂 | 存储和计算技术的选择

数据蒋堂 | 人工智能中的“人工”

数据蒋堂 | 中国报表漫谈

数据蒋堂 | 内存数据集产生的隐性成本

数据蒋堂 | 多维分析预汇总的功能盲区

数据蒋堂 | 多维分析预汇总的存储容量

数据蒋堂 | 多维分析预汇总的方案探讨

数据蒋堂 | 数据库的封闭性

数据蒋堂 | 内存数据集产生的隐性成本

数据蒋堂 | 前半有序的大数据排序

数据蒋堂 | “后半”有序的分组

数据蒋堂 | 时序数据从分表到分库

数据蒋堂 | BI系统的前置计算

数据蒋堂 | 性能优化是个手艺活

数据蒋堂 | 数据分布背后的逻辑

数据蒋堂 | 从一道招聘考题谈起

数据蒋堂 | 为什么我们需要C程序员


640?wx_fmt=jpeg

这篇关于数据蒋堂 | 报表工具的SQL植入风险的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/901522

相关文章

如何使用 Python 读取 Excel 数据

《如何使用Python读取Excel数据》:本文主要介绍使用Python读取Excel数据的详细教程,通过pandas和openpyxl,你可以轻松读取Excel文件,并进行各种数据处理操... 目录使用 python 读取 Excel 数据的详细教程1. 安装必要的依赖2. 读取 Excel 文件3. 读

Windows 上如果忘记了 MySQL 密码 重置密码的两种方法

《Windows上如果忘记了MySQL密码重置密码的两种方法》:本文主要介绍Windows上如果忘记了MySQL密码重置密码的两种方法,本文通过两种方法结合实例代码给大家介绍的非常详细,感... 目录方法 1:以跳过权限验证模式启动 mysql 并重置密码方法 2:使用 my.ini 文件的临时配置在 Wi

MySQL重复数据处理的七种高效方法

《MySQL重复数据处理的七种高效方法》你是不是也曾遇到过这样的烦恼:明明系统测试时一切正常,上线后却频频出现重复数据,大批量导数据时,总有那么几条不听话的记录导致整个事务莫名回滚,今天,我就跟大家分... 目录1. 重复数据插入问题分析1.1 问题本质1.2 常见场景图2. 基础解决方案:使用异常捕获3.

Spring 请求之传递 JSON 数据的操作方法

《Spring请求之传递JSON数据的操作方法》JSON就是一种数据格式,有自己的格式和语法,使用文本表示一个对象或数组的信息,因此JSON本质是字符串,主要负责在不同的语言中数据传递和交换,这... 目录jsON 概念JSON 语法JSON 的语法JSON 的两种结构JSON 字符串和 Java 对象互转

SQL中redo log 刷⼊磁盘的常见方法

《SQL中redolog刷⼊磁盘的常见方法》本文主要介绍了SQL中redolog刷⼊磁盘的常见方法,将redolog刷入磁盘的方法确保了数据的持久性和一致性,下面就来具体介绍一下,感兴趣的可以了解... 目录Redo Log 刷入磁盘的方法Redo Log 刷入磁盘的过程代码示例(伪代码)在数据库系统中,r

mysql中的group by高级用法

《mysql中的groupby高级用法》MySQL中的GROUPBY是数据聚合分析的核心功能,主要用于将结果集按指定列分组,并结合聚合函数进行统计计算,下面给大家介绍mysql中的groupby用法... 目录一、基本语法与核心功能二、基础用法示例1. 单列分组统计2. 多列组合分组3. 与WHERE结合使

C++如何通过Qt反射机制实现数据类序列化

《C++如何通过Qt反射机制实现数据类序列化》在C++工程中经常需要使用数据类,并对数据类进行存储、打印、调试等操作,所以本文就来聊聊C++如何通过Qt反射机制实现数据类序列化吧... 目录设计预期设计思路代码实现使用方法在 C++ 工程中经常需要使用数据类,并对数据类进行存储、打印、调试等操作。由于数据类

Mysql用户授权(GRANT)语法及示例解读

《Mysql用户授权(GRANT)语法及示例解读》:本文主要介绍Mysql用户授权(GRANT)语法及示例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录mysql用户授权(GRANT)语法授予用户权限语法GRANT语句中的<权限类型>的使用WITH GRANT

Mysql如何解决死锁问题

《Mysql如何解决死锁问题》:本文主要介绍Mysql如何解决死锁问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录【一】mysql中锁分类和加锁情况【1】按锁的粒度分类全局锁表级锁行级锁【2】按锁的模式分类【二】加锁方式的影响因素【三】Mysql的死锁情况【1

SpringBoot使用GZIP压缩反回数据问题

《SpringBoot使用GZIP压缩反回数据问题》:本文主要介绍SpringBoot使用GZIP压缩反回数据问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录SpringBoot使用GZIP压缩反回数据1、初识gzip2、gzip是什么,可以干什么?3、Spr