SQLAlchemy + SQL-Injektion

Was sind die besten Methoden zur Abwehr von SQL-injection-Angriffe bei Verwendung von SQLAlchemy?

InformationsquelleAutor der Frage Mike | 2011-06-28

  1. 34

    Wenn du irgendwelche "speziellen" Zeichen (z.B. Semikolon oder
    Apostrophe) in Ihren Daten, Sie werden
    werden automatisch erstellt für Sie durch die
    SQLEngine-Objekt, so dass Sie nicht haben, um
    sorgen über die Quotierung. Dies bedeutet auch,
    Sie, sofern Sie nicht absichtlich umgehen
    SQLAlchemy ist quoting-Mechanismen,
    SQL-injection-Angriffe sind im Grunde
    unmöglich.

    [pro http://www.rmunn.com/sqlalchemy-tutorial/tutorial.html]

    InformationsquelleAutor der Antwort Andreas Jung

  2. 52

    tldr: Vermeiden Sie rohes SQL so viel wie möglich.

    Die akzeptierte Antwort ist faul und falsch. Die filter-Methode akzeptiert raw-SQL, und wenn auf diese Weise eingesetzt, ist voll anfällig für SQL-injection-Angriffe. Zum Beispiel, wenn Sie waren zu akzeptieren, die einen Wert aus einer url und kombinieren Sie es mit raw-sql in die filter, Sie sind angreifbar:

    session.query(MyClass).filter("foo={}".format(getArgs['val']))

    verwenden des obigen Codes und die url unten, würden Sie injizieren SQL in Ihre filter-Anweisung. Der obige code würde alle Zeilen in Ihrer Datenbank.

    http://domain.com/?val=2%20or%201%20=%201

    InformationsquelleAutor der Antwort Tendrid

  3. 5

    Hinzufügen @Tendrid Antwort. Ich habe eine kleine Untersuchung mit ruhigen naive Ansatz. filter Methode hat *criterion als argument, mehrere andere ORM-Query-Methoden haben ähnlich argumentiert.

    Im Falle von filter Methode *criterion argument endet bestanden in _literal_as_textdie im Falle der Schnur markiert es als sicher sql (bitte korrigiert mich wenn ich falsch Liege). Daher macht es unsicher.

    Hier ist das Ergebnis ORM-Query-Klasse Methode Untersuchung mit *criterion argument:

    filter   - uses _literal_as_text (NOT SAFE)
having   - uses _literal_as_text (NOT SAFE)

distinct - uses _literal_as_label_reference (NOT SAFE)
group_by - uses _literal_as_label_reference (NOT SAFE)
order_by - uses _literal_as_label_reference (NOT SAFE)

join     - uses model attributes to resolve relation (SAFE)

    Beispiele für mögliche Methode missuses (um es einfach zu halten, werden string-Formatierung wird übersprungen):

    db.session.query(User.login).group_by('login').having('count(id) > 4; select name from roles').all()
db.session.query(User.login).distinct('name) name from roles /*').order_by('*/').all()
db.session.query(User.login).order_by('users_login; select name from roles').all()
db.session.query(User.login).group_by('login union select name from roles').all()

    Hinweisdass diese Methoden nur unsicher, wenn string-literal übergeben wird.

    InformationsquelleAutor der Antwort aisbaa

Schreibe einen Kommentar