在防止 SQL 注入时,PG::Connection#exec_params 是否与使用准备好的语句相同?
Is PG::Connection#exec_params identical to using a prepared statement when it comes to protect against SQL Injections?
它admitted that prepared statements provide a good protection against SQL injections and that manually injecting variables into a sql query using PG::Connection#exec是邪恶的,应该永远不要这样做。
但是 PG::Connection#exec_params 呢?它是否提供与准备好的语句相同级别的针对 sql 注入的保护?
如果它确实提供了针对 sql 注入的保护,它是始终正确还是仅当您显式绑定参数时才正确?
TL;DR 是的。
我不知道 Ruby 驱动程序的内部细节。我假设它可以使用三种策略。理论上只有一种可能会受到 top-level SQL-injection 攻击(下面会详细介绍),但所有这些都可能容易受到 lower-level SQL-injection 攻击,准备好的陈述也是如此。
要理解这一点,您需要了解 PostgreSQL 如何执行查询:
- 查询被解析成解析树
- 参数用于计划查询
- 计划执行
- 显示了 return 的数据。
在准备好的语句中,计划已保存,但这并不是使它们安全的原因。 top-level 攻击使它们安全的原因是参数与要解析的查询分开发送。
第一个策略可能是 server-side 准备好的语句。在这种情况下,计划将被保存并可能被重复使用,这可能会产生不希望的(或希望的)性能影响。
第二个是 PostgreSQL 协议允许单独发送查询和参数,即使不使用准备好的语句也是如此。这具有相同的安全优势,但不允许计划重用。查看代码,这看起来像是此方法工作的首选方式。
第三个是你可以client-side转义。这仍然比您自己做的任何事情都安全,因为它可能位于中心位置等。我知道 Perl 的 DBD::Pg 可以回退到这个,但几乎从来没有。我没有看到后备方案,但也许我错过了一个。
所以一般来说,我会说是的,即使使用最糟糕的方法,这也确实提供了相当的好处。
请注意,我一直在谈论 top-level 攻击。如果你在某处调用一个函数(例如从触发器),你也可以在那里进行 SQL 注入。这种情况发生在涉及动态 SQL 的地方,但通常不是问题。上面的 None 方法可以防止这种情况发生,因为计划阶段将作为上面执行阶段的 sub-part 发生,并且始终填写参数。
这就是为什么在应用程序的所有级别上良好的编码实践都很重要。
它admitted that prepared statements provide a good protection against SQL injections and that manually injecting variables into a sql query using PG::Connection#exec是邪恶的,应该永远不要这样做。
但是 PG::Connection#exec_params 呢?它是否提供与准备好的语句相同级别的针对 sql 注入的保护?
如果它确实提供了针对 sql 注入的保护,它是始终正确还是仅当您显式绑定参数时才正确?
TL;DR 是的。
我不知道 Ruby 驱动程序的内部细节。我假设它可以使用三种策略。理论上只有一种可能会受到 top-level SQL-injection 攻击(下面会详细介绍),但所有这些都可能容易受到 lower-level SQL-injection 攻击,准备好的陈述也是如此。
要理解这一点,您需要了解 PostgreSQL 如何执行查询:
- 查询被解析成解析树
- 参数用于计划查询
- 计划执行
- 显示了 return 的数据。
在准备好的语句中,计划已保存,但这并不是使它们安全的原因。 top-level 攻击使它们安全的原因是参数与要解析的查询分开发送。
第一个策略可能是 server-side 准备好的语句。在这种情况下,计划将被保存并可能被重复使用,这可能会产生不希望的(或希望的)性能影响。
第二个是 PostgreSQL 协议允许单独发送查询和参数,即使不使用准备好的语句也是如此。这具有相同的安全优势,但不允许计划重用。查看代码,这看起来像是此方法工作的首选方式。
第三个是你可以client-side转义。这仍然比您自己做的任何事情都安全,因为它可能位于中心位置等。我知道 Perl 的 DBD::Pg 可以回退到这个,但几乎从来没有。我没有看到后备方案,但也许我错过了一个。
所以一般来说,我会说是的,即使使用最糟糕的方法,这也确实提供了相当的好处。
请注意,我一直在谈论 top-level 攻击。如果你在某处调用一个函数(例如从触发器),你也可以在那里进行 SQL 注入。这种情况发生在涉及动态 SQL 的地方,但通常不是问题。上面的 None 方法可以防止这种情况发生,因为计划阶段将作为上面执行阶段的 sub-part 发生,并且始终填写参数。
这就是为什么在应用程序的所有级别上良好的编码实践都很重要。