2011-12-01 SQL注入的防備

http://www.itpub.net/thread-1499223-21-1.html

207樓

我創建如下的兩張表并填入數據:

CREATE TABLE plch_names1 (name VARCHAR2 (100))
/
CREATE TABLE plch_names2 (name VARCHAR2 (100))
/
BEGIN
   INSERT INTO plch_names1 VALUES ('Paul');
   INSERT INTO plch_names1 VALUES ('Ringo');
   INSERT INTO plch_names1 VALUES ('John');
   INSERT INTO plch_names1 VALUES ('George');
   INSERT INTO plch_names2 VALUES ('Jerry');
   INSERT INTO plch_names2 VALUES ('Bob');
   INSERT INTO plch_names2 VALUES ('Phil');
   COMMIT;
END;
/

然后我創建了這個函數來返回一個游標，里面包含了指定表名的name列的數據：

CREATE OR REPLACE FUNCTION plch_get_names (table_in IN VARCHAR2)
   RETURN SYS_REFCURSOR
IS
   l_cv   SYS_REFCURSOR;
BEGIN
   OPEN l_cv FOR 'select name from ' || table_in || ' order by name';
   RETURN l_cv;
END plch_get_names;
/

這里是一個“幫手”過程來顯示這個函數所返回的數據：

CREATE OR REPLACE PROCEDURE plch_show_names (table_in IN VARCHAR2)
IS
   l_cv     SYS_REFCURSOR;
   l_name   plch_names1.name%TYPE;
BEGIN
   DBMS_OUTPUT.put_line ('Names in ' || table_in);
   l_cv := plch_get_names (table_in);
   LOOP
      FETCH l_cv INTO l_name;
      EXIT WHEN l_cv%NOTFOUND;
      DBMS_OUTPUT.put_line (l_name);
   END LOOP;
   CLOSE l_cv;
END plch_show_names;
/

當我執行下列這個代碼塊，我可以看到Beatles 和 Grateful Dead樂隊的成員。（即上述兩張表中的數據）

BEGIN
   plch_show_names ('plch_names1');
   plch_show_names ('plch_names2');
END;
/

不幸的是，如果我這樣來執行：

BEGIN
   plch_show_names (
      'plch_names2 where 1=2 union select username from all_users --');
END;
/

我看到了數據庫實例中所有用戶的名字，這屬于安全違規（是一種SQL注入）

下面哪些plch_get_names函數會拋出異常，假如調用時傳入了那個“注入”參數值，但是如果傳入像plch_names1 和 plch_names2這樣的“真實”表名你還可以看到表中數據？

(A)

BEGIN
   OPEN l_cv FOR
         'select name from '
      || DBMS_ASSERT.simple_sql_name (table_in)
      || ' order by name';
   RETURN l_cv;
END plch_get_names;

(B)

BEGIN
   DBMS_ASSERT.simple_sql_name (table_in);
   OPEN l_cv FOR 'select name from ' || table_in || ' order by name';
   RETURN l_cv;
END plch_get_names;

(C)

BEGIN
   OPEN l_cv FOR
         'select name from '
      || DBMS_ASSERT.qualified_sql_name (table_in)
      || ' order by name';
   RETURN l_cv;
END plch_get_names;

(D)

BEGIN
   OPEN l_cv FOR 'select name from :table_name order by name' USING table_in;
   RETURN l_cv;
END plch_get_names;

答案說明在209樓

2011-12-01答案AC.
DBMS_ASSERT.SIMPLE_SQL_NAME檢查一個名字是否為SQL中可用的簡單名字：
  名字必須以字母開頭，隨后可跟隨數字、字母或_, $, # 字符；
  允許帶雙引號,雙引號之間可以是任意字符；
  假如雙引號之內的名字本身就帶有雙引號，那么必須重復雙引號兩次來表示；
  輸入參數如果前后帶有空格被忽略。
  名字的長度沒有被檢測。
DBMS_ASSERT.qualified_sql_name則更寬松一些，允許帶.(小數點，比如用在記錄成員、PACKAGE里面的函數、SCHEMA OWNER等)和@ (用在DBLINK)
答案B: simple_sql_name是函數不是存儲過程，必須將返回值賦給變量。
答案D: 表名不可以用綁定變量。