Oracle数据库的安全,PL/SQL的SQL注入

数据库 Oracle
我们今天主要讨论的是Oracle数据库的安全:PL/SQL的SQL注入这一技术的实际应用,如果你对其的实际应用,感到“晕”的话。以下的文章会给你提供相关的资料。

以下的文章主要是浅谈Oracle数据库的安全:PL/SQL的SQL注入,我在一个信誉度很好的网站找到一个关于Oracle数据库的安全:PL/SQL的SQL注入的资料,拿出来供大家分享。望大家会有所收获。

SQL注入,一个老掉牙的安全问题,有SQL的地方就会有SQL注入。一般做企业应用的只关注Java层面的编写规范,比如使用preparedStatement,或者干脆直接过滤掉危险字符等等。

其实在编写PL/SQL的function或procedure的时候,也存在注入的问题,我们来简单探讨一下。

例如有这样一个procedure,功能为禁用某个table的constraint:

Sql代码

 

  1. CREATE OR REPLACE PROCEDURE Disable_Constraint 
    ( p_constraint_name VARCHAR2, p_table VARCHAR2 )  
  2. AUTHID CURRENT_USER  
  3. AS  
  4. p_schema VARCHAR2(32) :USER;  
  5. sql_stmt VARCHAR2(2000) :'ALTER TABLE ' 
  6. || p_schema  
  7. || '.'  
  8. || p_table  
  9. || ' DISABLE CONSTRAINT '  
  10. || p_constraint_name ;  
  11. BEGIN  
  12. EXECUTE IMMEDIATE sql_stmt;  
  13. END;  
  14. /   

 

了解SQL注入的同学应该可以看出来,上面的procedure存在几个危险的变量:

1. p_table

2. p_constraint_name

3. p_schema

前两者容易发现,但为什还有p_schema呢?因为当前的USER名字也有可能是用户构造的危险字符串。好了,根据一般规律,我们应该遵循以下顺序进行修改:

1. 静态SQL。能不使用变量就不使用。

2. 绑定变量。与Java中的PreparedStatement类似,不把数据直接拼接在sql里,而是存入变量中,直接被Oracle数据库使用。

3. 检查变量的值。

显然,前两个方法对这个procedure不适用。我们只能使用最不爽的第3个方法。 好在对于PL/SQL来说,我们不用自己编写复杂的字符判断。Oracle有个SYS.DBMS_ASSERT包,提供了一些预置的function,如下:

 

  1. NOOP No Operation. Returns string unchanged  
  2. SIMPLE_SQL_NAME Verify that the input string is 
    a simple SQL name.  
  3. QUALIFIED_SQL_NAME Verify that the input string 
    is a qualified SQL name.  
  4. SCHEMA_NAME This function verifies that the input 
    string is an existing schema name.  
  5. SQL_OBJECT_NAME This function verifies that the input 
    parameter string is a qualified SQL identifier of an 
    existing SQL object.  
  6. ENQUOTE_NAME This function encloses a name in double 
    quotes.  
  7. ENQUOTE_LITERAL Add leading and trailing single 
    quotes to a string literal.  
     

 

在执行这些function时,如果传入的变量不满足规定的格式或条件,则会抛异常,从而保护我们自己的procedure不被SQL注入。

我们判断这些方法是否可用:

1. SIMPLE_SQL_NAME, QUALIFIED_SQL_NAME

这些方法要求用户出入的参数本身是一个有效的sql名字。比如,如果有个table名为"Table One",那么就要求传入的值中包含双引号。使用这些方法存在一个问题,直接从data-dictionary读取出来的table名字是不带双引号的。如果用户直接从data-dictionary中读取table名字,然后直接传入我们的procedure,则会因为它不满足simple sql name的要求而抛异常,但实际上这个table名字应该是正确的。所以不能直接使用这些function。

2. SCHEMA_NAME, SQL_OBJECT_NAME

这些方法要求传入的参数值是数据库中已经存在的对象名字。如果Oracle数据库中本来有个table名为 "Table One",那么如果用户传入Table One,则被视为正确。使用这些方法,避免了第一个方法的data-dictionary问题,而且也能够避免遭受类似table' -- 的问题。但存在所谓二次攻击的问题。如果用户提前创建了一个包含危险字符的table,然后再调用我们的procedure,依旧会造成SQL注入。

3. ENQUOTE_NAME, ENQUOTE_LITERAL

这些方法直接把参数的值用双引号或单引号括起来。如果括起来之后的值本身还存在危险的话,会抛异常。对于我们举例的procedure来说,只需要使用ENQUOTE_NAME。ENQUOTE_NAME需要两个参数,一个是需要enquote的变量,另一个为是否转换为大写。现在,对于我们的procedure,应该使用ENQUOTE_NAME(p_table, FALSE),保证Table One不被转换为"TABLE ONE"。

这是我们的最终解决方案。但需要注意的是,由于使用了ENQUOTE_NAME,对于我们的procedure来说,table和constraint的名字对大小写敏感。如果名为table_1,则必须传入TABLE_1,否则会执行错误。

修改后的代码如下:

Sql代码

 

  1. CREATE OR REPLACE PROCEDURE Disable_Constraint 
    ( p_constraint_name VARCHAR2, p_table VARCHAR2 )  
  2. AUTHID CURRENT_USER  
  3. AS  
  4. p_schema VARCHAR2(32) :SYS.DBMS_ASSERT.
    ENQUOTE_NAME(USER, FALSE);  
  5. sql_stmt VARCHAR2(2000);  
  6. safe_table VARCHAR2(32);  
  7. safe_constraint VARCHAR2(32);  
  8. BEGIN  
  9. safe_table :SYS.DBMS_ASSERT.
    ENQUOTE_NAME(p_table, FALSE);  
  10. safe_constraint :SYS.DBMS_ASSERT.
    ENQUOTE_NAME(p_constraint_name, FALSE);  
  11. sql_stmt :'ALTER TABLE ' 
  12. || p_schema  
  13. || '.'  
  14. || safe_table  
  15. || ' DISABLE CONSTRAINT '  
  16. || safe_constraint ;  
  17. EXECUTE IMMEDIATE sql_stmt;  
  18. END;  
  19. /  

 

上述的相关内容就是对Oracle数据库的安全:PL/SQL的SQL注入的描述,希望会给你带来一些帮助在此方面。

【编辑推荐】

  1. Oracle创建Split 与Map 函数的代码示例
  2. Oracle索引整理的详细描述
  3. Oracle 权限入门如何管理
  4. Oracle数据库缓冲区命中率的概述
  5. Oracle数据库调试和优化详解
责任编辑:佚名 来源: 互联网
相关推荐

2010-04-13 14:35:17

2011-04-14 13:01:53

Oracle数据库

2010-05-05 11:17:55

Oracle数据库

2011-08-29 13:24:50

Oracle数据库PLSQL设置快捷键

2010-04-09 10:32:03

Oracle 数据库

2014-01-17 12:35:48

2010-10-26 11:04:48

oracle数据导入

2011-07-05 16:27:14

过程函数PL

2011-07-29 13:40:34

Oracle数据库PLSQL异常处理

2010-07-13 11:47:47

2010-10-26 15:54:02

连接oracle数据库

2010-04-26 18:32:48

Oracle数据库

2010-05-10 18:54:12

Oracle数据库索引

2011-08-18 16:42:04

Oracle数据库维护SQL代码示例

2011-02-28 10:57:56

2013-07-25 20:36:02

2011-07-26 13:05:06

PLSQL DevelopOracle数据库

2022-11-04 08:34:27

Oracle数据库

2009-10-09 15:20:12

2011-05-25 15:10:59

SQL Server安全数据库
点赞
收藏

51CTO技术栈公众号