IT猫扑网:您身边最放心的安全下载站! 最新更新|软件分类|软件专题|手机版|论坛转贴|软件发布

您当前所在位置:首页数据库Oracle → Oracle数据库安全:PL/SQL的SQL注入

Oracle数据库安全:PL/SQL的SQL注入

时间:2015/6/28来源:IT猫扑网作者:网管联盟我要评论(0)

  SQL注入,一个老掉牙的安全问题,有SQL的地方就会有SQL注入。一般做企业应用的只关注java层面的编写规范,比如使用preparedStatement,或者干脆直接过滤掉危险字符等等。

  其实在编写PL/SQL的function或procedure的时候,也存在注入的问题,我们来简单探讨一下。

  例如有这样一个procedure,功能为禁用某个table的constraint:

  Sql代码

  CREATE OR REPLACE PROCEDURE Disable_Constraint  ( p_constraint_name  VARCHAR2, p_table VARCHAR2 )

  AUTHID CURRENT_USER

  AS

  p_schema VARCHAR2(32) := USER;

  sql_stmt VARCHAR2(2000) := 'ALTER TABLE '

  || p_schema

  || '.'

  || p_table

  || ' DISABLE CONSTRAINT '

  || p_constraint_name ;

  BEGIN

  EXECUTE IMMEDIATE sql_stmt;

  END;

  /

  了解SQL注入的同学应该可以看出来,上面的procedure存在几个危险的变量:

  1. p_table

  2. p_constraint_name

  3. p_schema

  前两者容易发现,但为什还有p_schema呢?因为当前的USER名字也有可能是用户构造的危险字符串。好了,根据一般规律,我们应该遵循以下顺序进行修改:

  1. 静态SQL。能不使用变量就不使用。

  2. 绑定变量。与Java中的PreparedStatement类似,不把数据直接拼接在sql里,而是存入变量中,直接被数据库使用。

  3. 检查变量的值。

  显然,前两个方法对这个procedure不适用。我们只能使用最不爽的第3个方法。 好在对于PL/SQL来说,我们不用自己编写复杂的字符判断。oracle有个SYS.DBMS_ASSERT包,提供了一些预置的function,如下:

  NOOP No Operation. Returns string unchanged

  SIMPLE_SQL_NAME Verify that the input string is a simple SQL name.

  QUALIFIED_SQL_NAME Verify that the input string is a qualified SQL name.

  SCHEMA_NAME This function verifies that the input string is an existing schema name.

  SQL_OBJECT_NAME This function verifies that the input parameter string is a qualified SQL identifier of an existing SQL object.

  ENQUOTE_NAME This function encloses a name in double quotes.

  ENQUOTE_LITERAL Add leading and trailing single quotes to a string literal.

  (请参考:https://download.oracle.com/docs/cd/B28359_01/appdev.111/b28419/d_assert.htm)

  在执行这些function时,如果传入的变量不满足规定的格式或条件,则会抛异常,从而保护我们自己的procedure不被SQL注入。

  我们判断这些方法是否可用:

  1. SIMPLE_SQL_NAME, QUALIFIED_SQL_NAME

  这些方法要求用户出入的参数本身是一个有效的sql名字。比如,如果有个table名为"Table One",那么就要求传入的值中包含双引号。使用这些方法存在一个问题,直接从data-dictionary读取出来的table名字是不带双引号的。如果用户直接从data-dictionary中读取table名字,然后直接传入我们的procedure,则会因为它不满足simple sql name的要求而抛异常,但实际上这个table名字应该是正确的。所以不能直接使用这些function。

  2. SCHEMA_NAME, SQL_OBJECT_NAME

  这些方法要求传入的参数值是数据库中已经存在的对象名字。如果数据库中本来有个table名为 "Table One",那么如果用户传入Table One,则被视为正确。使用这些方法,避免了第一个方法的data-dictionary问题,而且也能够避免遭受类似table' -- 的问题。但存在所谓二次攻击的问题。如果用户提前创建了一个包含危险字符的table,然后再调用我们的procedure,依旧会造成SQL注入。

  3. ENQUOTE_NAME, ENQUOTE_LITERAL

  这些方法直接把参数的值用双引号或单引号括起来。如果括起来之后的值本身还存在危险的话,会抛异常。对于我们举例的procedure来说,只需要使用ENQUOTE_NAME。ENQUOTE_NAME需要两个参数,一个是需要enquote的变量,另一个为是否转换为大写。现在,对于我们的procedure,应该使用ENQUOTE_NAME(p_table, FALSE),保证Table One不被转换为"TABLE ONE"。

  这是我们的最终解决方案。但需要注意的是,由于使用了ENQUOTE_NAME,对于我们的procedure来说,table和constraint的名字对大小写敏感。如果名为table_1,则必须传入TABLE_1,否则会执行错误。

  修改后的代码如下:

  Sql代码

  CREATE OR REPLACE PROCEDURE Disable_Constraint  ( p_constraint_name  VARCHAR2, p_table VARCHAR2 )

  AUTHID CURRENT_USER

  AS

  p_schema VARCHAR2(32) := SYS.DBMS_ASSERT.ENQUOTE_NAME(USER, FALSE);

  sql_stmt VARCHAR2(2000);

  safe_table VARCHAR2(32);

  safe_constraint VARCHAR2(32);

  BEGIN

  safe_table := SYS.DBMS_ASSERT.ENQUOTE_NAME(p_table, FALSE);

  safe_constraint := SYS.DBMS_ASSERT.ENQUOTE_NAME(p_constraint_name, FALSE);

  sql_stmt := 'ALTER TABLE '

  || p_schema

  || '.'

  || safe_table

  || ' DISABLE CONSTRAINT '

  || safe_constraint ;

  EXECUTE IMMEDIATE sql_stmt;

  END;

  /

关键词标签:SQL注入,Oracle数据库

相关阅读

文章评论
发表评论

热门文章 Oracle中使用alter table来增加,删除,修改列Oracle中使用alter table来增加,删除,修改列oracle中使用SQL语句修改字段类型-oracle修oracle中使用SQL语句修改字段类型-oracle修使用低权限Oracle数据库账户得到管理员权限使用低权限Oracle数据库账户得到管理员权限Oracle对user的访问控制Oracle对user的访问控制

相关下载

人气排行 ORACLE SQL 判断字符串是否为数字的语句Oracle中使用alter table来增加,删除,修改列的语法ORACLE和SQL语法区别归纳(1)oracle grant 授权语句如何加速Oracle大批量数据处理Oracle删除表的几种方法ORACLE修改IP地址后如何能够使用Oracle 10g创建表空间和用户并指定权限