鍍金池/ 教程/ Java/ SQL 注入
定時(shí)任務(wù)
函數(shù)的參數(shù)
超時(shí)
一個(gè) openresty 內(nèi)存“泄漏”問(wèn)題
獲取 uri 參數(shù)
局部變量
sleep
灰度發(fā)布
TIME_WAIT
代碼覆蓋率
連接池
CentOS 平臺(tái)安裝
稀疏數(shù)組
如何只啟動(dòng)一個(gè) timer 工作?
變量的共享范圍
break,return 關(guān)鍵字
Nginx
SQL 注入
如何引用第三方 resty 庫(kù)
不同階段共享變量
獲取請(qǐng)求 body
動(dòng)態(tài)生成的 lua-resty-redis 模塊方法
動(dòng)態(tài)加載證書(shū)和 OCSP stapling
repeat 控制結(jié)構(gòu)
編碼為 array 還是 object
Nginx 靜態(tài)文件服務(wù)
執(zhí)行階段概念
Lua 函數(shù)
日期時(shí)間函數(shù)
健康監(jiān)測(cè)
與其他 location 配合
for 控制結(jié)構(gòu)
函數(shù)定義
HTTPS 時(shí)代
點(diǎn)號(hào)與冒號(hào)操作符的區(qū)別
String 庫(kù)
文件操作
OpenResty 最佳實(shí)踐
<code>ngx.shared.DICT</code> 非隊(duì)列性質(zhì)
使用動(dòng)態(tài) DNS 來(lái)完成 HTTP 請(qǐng)求
代碼規(guī)范
什么是 JIT?
Windows 平臺(tái)安裝
正確的記錄日志
LuaNginxModule
不用標(biāo)準(zhǔn)庫(kù)
C10K 編程
控制結(jié)構(gòu)
請(qǐng)求中斷后的處理
Lua 環(huán)境搭建
Test::Nginx 能指定現(xiàn)成的 nginx.conf,而不是自動(dòng)生成一個(gè)嗎
Lua 基礎(chǔ)數(shù)據(jù)類(lèi)型
動(dòng)態(tài)限速
PostgresNginxModule
簡(jiǎn)單API Server框架
API 測(cè)試
location 匹配規(guī)則
虛變量
單元測(cè)試
防止 SQL 注入
select + set_keepalive 組合操作引起的數(shù)據(jù)讀寫(xiě)錯(cuò)誤
阻塞操作
全動(dòng)態(tài)函數(shù)調(diào)用
Web 服務(wù)
典型應(yīng)用場(chǎng)景
Nginx 新手起步
TLS session resumption
輸出響應(yīng)體
調(diào)用代碼前先定義函數(shù)
module 是邪惡的
怎樣理解 cosocket
模塊
Socket 編程發(fā)展
如何對(duì) Nginx Lua module 添加新 api
如何在后臺(tái)開(kāi)啟輕量級(jí)線程完成定時(shí)任務(wù)?
如何定位問(wèn)題
table 庫(kù)
json 解析的異常捕獲
如何安裝火焰圖生成工具
lua 中如何 continue
if 是邪惡的
為什么我們的域名不能被解析
抵制使用 module() 定義模塊
測(cè)試
body 在 location 中的傳遞
Lua 入門(mén)
子查詢
pipeline 壓縮請(qǐng)求數(shù)量
如何發(fā)起新 HTTP 請(qǐng)求
Lua 簡(jiǎn)介
緩存失效風(fēng)暴
Ubuntu 平臺(tái)安裝
日志輸出
緩存
Lua 面向?qū)ο缶幊?/span>
Nginx 陷阱和常見(jiàn)錯(cuò)誤
Redis 接口的二次封裝(發(fā)布訂閱)
日志
訪問(wèn)有授權(quán)驗(yàn)證的 Redis
正則表達(dá)式
lock
熱裝載代碼
調(diào)用 FFI 出現(xiàn) &quot;table overflow&quot;
數(shù)據(jù)合法性檢測(cè)
禁止某些終端訪問(wèn)
控制結(jié)構(gòu) if-else
調(diào)試
與 Docker 使用的網(wǎng)絡(luò)瓶頸
PostgresNginxModule 模塊的調(diào)用方式
用 do-end 整理你的代碼
FFI
什么時(shí)候使用
簡(jiǎn)介
環(huán)境搭建
Mac OS X 平臺(tái)安裝
火焰圖
負(fù)載均衡
while 型控制結(jié)構(gòu)
如何定位 openresty 崩潰 bug
使用 Nginx 內(nèi)置綁定變量
判斷數(shù)組大小
請(qǐng)求返回后繼續(xù)執(zhí)行
Redis 接口的二次封裝
KeepAlive
反向代理
協(xié)議無(wú)痛升級(jí)
數(shù)學(xué)庫(kù)
元表
Vanilla 介紹
HelloWorld
LuaCjsonLibrary
持續(xù)集成
代碼靜態(tài)分析
網(wǎng)上有大量對(duì) Lua 調(diào)優(yōu)的推薦,我們應(yīng)該如何看待?
script 壓縮復(fù)雜請(qǐng)求
非空判斷
性能測(cè)試
函數(shù)返回值
API 的設(shè)計(jì)
kong 介紹
表達(dá)式
不支持事務(wù)
LuaRestyDNSLibrary 簡(jiǎn)介

SQL 注入

有使用 SQL 語(yǔ)句操作數(shù)據(jù)庫(kù)的經(jīng)驗(yàn)朋友,應(yīng)該都知道使用 SQL 過(guò)程中有一個(gè)安全問(wèn)題叫 SQL 注入。所謂 SQL 注入,就是通過(guò)把 SQL 命令插入到 Web 表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串,最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的 SQL 命令。 為了防止 SQL 注入,在生產(chǎn)環(huán)境中使用 OpenResty 的時(shí)候就要注意添加防范代碼。

延續(xù)之前的 ngx_postgres 調(diào)用代碼的使用,

    local sql_normal = [[select id, name from user where name=']] .. ngx.var.arg_name .. [[' and password=']] .. ngx.var.arg_password .. [[' limit 1;]]

    local res = ngx.location.capture('/postgres',
        { args = {sql = sql } }
    )

    local body = json.decode(res.body)

    if (table.getn(res) > 0) {
        return res[1];
    }

    return nil;

假設(shè)我們?cè)谟脩舻卿浭褂蒙?SQL 語(yǔ)句查詢賬號(hào)是否賬號(hào)密碼正確,用戶可以通過(guò) GET 方式請(qǐng)求并發(fā)送登錄信息比如:

#    http://localhost/login?name=person&password=12345

那么我們上面的代碼通過(guò) ngx.var.arg_name 和 ngx.var.arg_password 獲取查詢參數(shù),并且與 SQL 語(yǔ)句格式進(jìn)行字符串拼接,最終 sql_normal 會(huì)是這個(gè)樣子的:

    local sql_normal = [[select id, name from user where name='person' and password='12345' limit 1;]]

正常情況下,如果 person 賬號(hào)存在并且 password 是 12345,那么 sql 執(zhí)行結(jié)果就應(yīng)該是能返回 id 號(hào)的。這個(gè)接口如果暴露在攻擊者面前,那么攻擊者很可能會(huì)讓參數(shù)這樣傳入:

    name="' or ''='"
    password="' or ''='"

那么這個(gè) sql_normal 就會(huì)變成一個(gè)永遠(yuǎn)都能執(zhí)行成功的語(yǔ)句了。

    local sql_normal = [[select id, name from user where name='' or ''='' and password='' or ''='' limit 1;]]

這就是一個(gè)簡(jiǎn)單的 sql inject(注入)的案例,那么問(wèn)題來(lái)了,面對(duì)這么兇猛的攻擊者,我們有什么辦法防止這種 SQL 注入呢?

很簡(jiǎn)單,我們只要 把 傳入?yún)?shù)的變量 做一次字符轉(zhuǎn)義,把不該作為破壞 SQL 查詢語(yǔ)句結(jié)構(gòu)的雙引號(hào)或者單引號(hào)等做轉(zhuǎn)義,把 ' 轉(zhuǎn)義成 \',那么變量 name 和 password 的內(nèi)容還是乖乖的作為查詢條件傳入,他們?cè)僖膊荒転榉亲鞔趿恕?/p>

那么怎么做到字符轉(zhuǎn)義呢?要知道每個(gè)數(shù)據(jù)庫(kù)支持的 SQL 語(yǔ)句格式都不太一樣啊,尤其是雙引號(hào)和單引號(hào)的應(yīng)用上。有幾個(gè)選擇:

    ndk.set_var.set_quote_sql_str()
    ndk.set_var.set_quote_pgsql_str()
    ngx.quote_sql_str()

這三個(gè)函數(shù),前面兩個(gè)是 ndk.set_var 跳轉(zhuǎn)調(diào)用,其實(shí)是 HttpSetMiscModule 這個(gè)模塊提供的函數(shù),是一個(gè) C 模塊實(shí)現(xiàn)的函數(shù),ndk.set_var.set_quote_sql_str() 是用于 MySQL 格式的 SQL 語(yǔ)句字符轉(zhuǎn)義,而 set_quote_pgsql_str 是用于 PostgreSQL 格式的 SQL 語(yǔ)句字符轉(zhuǎn)義。最后 ngx.quote_sql_str 是一個(gè) ngx_lua 模塊中實(shí)現(xiàn)的函數(shù),也是用于 MySQL 格式的 SQL 語(yǔ)句字符轉(zhuǎn)義。

讓我們看看代碼怎么寫(xiě):

    local name = ngx.quote_sql_str(ngx.var.arg_name)
    local password = ngx.quote_sql_str(ngx.var.arg_password)
    local sql_normal = [[select id, name from user where name=]] .. name .. [[ and password=]] .. password .. [[ limit 1;]]

    local res = ngx.location.capture('/postgres',
        { args = {sql = sql } }
    )

    local body = json.decode(res.body)

    if (table.getn(res) > 0) {
        return res[1];
    }

    return nil;

注意上述代碼有兩個(gè)變化:

  • 用 ngx.quote_sql_str 把 ngx.var.arg_name 和 ngx.var.arg_password 包了一層,把返回值作為 sql 語(yǔ)句拼湊起來(lái)。
  • 原本在 sql 語(yǔ)句中添加的單引號(hào)去掉了,因?yàn)?ngx.quote_sql_str 的返回值正確的帶上引號(hào)了。

這樣已經(jīng)可以抵御 SQL 注入的攻擊手段了,但開(kāi)發(fā)過(guò)程中需要不斷的產(chǎn)生新功能新代碼,這時(shí)候也一定注意不要忽視 SQL 注入的防護(hù),安全防御代碼就想織網(wǎng)一樣,只要有一處漏洞,魚(yú)兒可就游走了。