有使用 SQL 語(yǔ)句操作數(shù)據(jù)庫(kù)的經(jīng)驗(yàn)朋友,應(yīng)該都知道使用 SQL 過(guò)程中有一個(gè)安全問(wèn)題叫 SQL 注入。所謂 SQL 注入,就是通過(guò)把 SQL 命令插入到 Web 表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。 為了防止 SQL 注入,在生產(chǎn)環(huán)境中使用 OpenResty 的時(shí)候就要注意添加防范代碼。
延續(xù)之前的 ngx_postgres 調(diào)用代碼的使用,
local sql_normal = [[select id, name from user where name=']] .. ngx.var.arg_name .. [[' and password=']] .. ngx.var.arg_password .. [[' limit 1;]]
local res = ngx.location.capture('/postgres',
{ args = {sql = sql } }
)
local body = json.decode(res.body)
if (table.getn(res) > 0) {
return res[1];
}
return nil;
假設(shè)我們?cè)谟脩舻卿浭褂蒙?SQL 語(yǔ)句查詢賬號(hào)是否賬號(hào)密碼正確,用戶可以通過(guò) GET 方式請(qǐng)求并發(fā)送登錄信息比如:
# http://localhost/login?name=person&password=12345
那么我們上面的代碼通過(guò) ngx.var.arg_name 和 ngx.var.arg_password 獲取查詢參數(shù),并且與 SQL 語(yǔ)句格式進(jìn)行字符串拼接,最終 sql_normal 會(huì)是這個(gè)樣子的:
local sql_normal = [[select id, name from user where name='person' and password='12345' limit 1;]]
正常情況下,如果 person 賬號(hào)存在并且 password 是 12345,那么 sql 執(zhí)行結(jié)果就應(yīng)該是能返回 id 號(hào)的。這個(gè)接口如果暴露在攻擊者面前,那么攻擊者很可能會(huì)讓參數(shù)這樣傳入:
name="' or ''='"
password="' or ''='"
那么這個(gè) sql_normal 就會(huì)變成一個(gè)永遠(yuǎn)都能執(zhí)行成功的語(yǔ)句了。
local sql_normal = [[select id, name from user where name='' or ''='' and password='' or ''='' limit 1;]]
這就是一個(gè)簡(jiǎn)單的 sql inject(注入)的案例,那么問(wèn)題來(lái)了,面對(duì)這么兇猛的攻擊者,我們有什么辦法防止這種 SQL 注入呢?
很簡(jiǎn)單,我們只要 把 傳入?yún)?shù)的變量 做一次字符轉(zhuǎn)義,把不該作為破壞 SQL 查詢語(yǔ)句結(jié)構(gòu)的雙引號(hào)或者單引號(hào)等做轉(zhuǎn)義,把 ' 轉(zhuǎn)義成 \',那么變量 name 和 password 的內(nèi)容還是乖乖的作為查詢條件傳入,他們?cè)僖膊荒転榉亲鞔趿恕?/p>
那么怎么做到字符轉(zhuǎn)義呢?要知道每個(gè)數(shù)據(jù)庫(kù)支持的 SQL 語(yǔ)句格式都不太一樣啊,尤其是雙引號(hào)和單引號(hào)的應(yīng)用上。有幾個(gè)選擇:
ndk.set_var.set_quote_sql_str()
ndk.set_var.set_quote_pgsql_str()
ngx.quote_sql_str()
這三個(gè)函數(shù),前面兩個(gè)是 ndk.set_var 跳轉(zhuǎn)調(diào)用,其實(shí)是 HttpSetMiscModule 這個(gè)模塊提供的函數(shù),是一個(gè) C 模塊實(shí)現(xiàn)的函數(shù),ndk.set_var.set_quote_sql_str() 是用于 MySQL 格式的 SQL 語(yǔ)句字符轉(zhuǎn)義,而 set_quote_pgsql_str 是用于 PostgreSQL 格式的 SQL 語(yǔ)句字符轉(zhuǎn)義。最后 ngx.quote_sql_str 是一個(gè) ngx_lua 模塊中實(shí)現(xiàn)的函數(shù),也是用于 MySQL 格式的 SQL 語(yǔ)句字符轉(zhuǎn)義。
讓我們看看代碼怎么寫(xiě):
local name = ngx.quote_sql_str(ngx.var.arg_name)
local password = ngx.quote_sql_str(ngx.var.arg_password)
local sql_normal = [[select id, name from user where name=]] .. name .. [[ and password=]] .. password .. [[ limit 1;]]
local res = ngx.location.capture('/postgres',
{ args = {sql = sql } }
)
local body = json.decode(res.body)
if (table.getn(res) > 0) {
return res[1];
}
return nil;
注意上述代碼有兩個(gè)變化:
這樣已經(jīng)可以抵御 SQL 注入的攻擊手段了,但開(kāi)發(fā)過(guò)程中需要不斷的產(chǎn)生新功能新代碼,這時(shí)候也一定注意不要忽視 SQL 注入的防護(hù),安全防御代碼就想織網(wǎng)一樣,只要有一處漏洞,魚(yú)兒可就游走了。