sql – 如何避免注入按运行时值排序查询

前端之家收集整理的这篇文章主要介绍了sql – 如何避免注入按运行时值排序查询前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
查询允许您通过传入参数对列进行排序时,这是一个常见问题.以下是我尝试使用ColdFusion ORM的内容.我知道这样做会为sql注入添加一个安全循环漏洞.由于ORDER BY不能放置参数,我们必须将它追加到查询本身.我已经逃脱了一些易受攻击的角色,但我仍然不能说这是安全的(来自sql注入). ESAPI提供了函数encodeForsql(),但这不适用于sql Server(尽管它可以与MysqL一起使用).

我通常使用的另一种方法是,不是在参数中传递列名,而是传递一些数值并使用switch-case来匹配正确的列名…但这是维护的增加.

当我们不能使用命名参数时,有没有什么好的方法可以在sql(或HQL)中转义排序参数?

<cfscript>
    var gridstruct = {};
    var isPaging = 0;
    var hql = "FROM tbl6 order by #arguments.sortcolumn#";      
    x = entitytoquery(ORMexecuteQuery(hql,false));
</cfscript>

解决方法

我可能只是根据适当的已知值列表验证传入的sortcolumn参数的值.抛开sqlI,你肯定不想对底层模式中的任何列进行排序吗?

例如:

if (!isValid("regex",arguments.sortcolumn,"list|of|valid|values|here")){
    throw(type="IllegalArgumentException");
}

猜你在找的MsSQL相关文章