我正在用 golang 编写一个半面向外部的 Web 服务,让用户可以查询有关其帐户的信息,这些信息分布在多个内部遗留服务中。
我的服务将用户输入的字符串传递到多个后端 RESTful API,这些 API 根据字符串进行 MySQL 查找以生成结果,这些结果会传回我的服务以提供给用户。
从历史上看,这些遗留的后端服务没有暴露给用户输入,所以我不确定它们是否有适当的保护措施来防止 SQL 注入(inject)。
通常我会使用 Prepared Statements 来防止 SQL 注入(inject)以防止数据库引擎将用户字符串视为可解析的,但在这种情况下,我不控制数据库调用——它们在下游很远,现在审计它们是不切实际的。
我可以在我的 golang 代码中做些什么来尽可能多地清理用户输入以最小化 SQL 注入(inject)漏掉的风险?这最终是一个权宜之计,直到可以审计所有下游数据库调用的注入(inject)安全性。
编辑:出于所有实际目的,用户输入可以是任意字符串,但它不应该是可执行代码。我的服务需要来自用户的字段值,而不是代码。
最佳答案
在过去的工作中,我为我们的服务维护了一个允许临时查询的工具。它允许管理人员请求报告,而无需等待数周的代码部署(回到部署需要数周的古朴时代)。
我们不通过使服务接受任意字符串作为输入并将它们作为 SQL 执行来支持临时报告查询。这是非常不安全的,我相信你知道。
它的工作方式是将报告查询以及所需的查询参数数量存储在数据库中。
CREATE TABLE ManagerQueries (
id INT PRIMARY KEY,
query TEXT NOT NULL,
description TEXT NOT NULL,
num_params TINYINT UNSIGNED NOT NULL DEFAULT 0
);
INSERT INTO ManagerQueries
SET query = 'SELECT COUNT(*) FROM logins WHERE user_id = {0} AND created_at > {1}',
description = 'Count a given user logins since a date',
num_params = 2;
管理器前端可以通过其主键请求查询,而不是通过在 Web 请求中指定任意 SQL 字符串。
只有 DBA 和可能知道如何编写安全查询的其他开发人员或经理才被允许向该存储库添加新查询,因此可以保证查询已经过测试和审查。
当通过 UI 请求报告查询时,它会强制用户提供查询参数的值。在我们的例子中,它从数据库中读取 SQL,执行 prepare(),然后为 execute() 绑定(bind)值。至此SQL注入(inject)防御得到满足。
在您的情况下,您的代码可能无法直接访问遗留服务的数据库,因此您无法执行准备/执行和使用绑定(bind)参数。您必须提交包含集成值的静态查询。
在其他语言中,您可以通过转义 使任何字符串值安全地插值到 SQL 查询中。查看 MySQL C API 函数 mysql_real_escape_string() .
数值更容易。你不必转义任何东西,你只需要确保数值是一个真正的数字。一旦将动态值转换为数字,就可以安全地插回任何 SQL 字符串。
不幸的是,我认为 golang SQL 包不支持任何转义函数。这已被要求作为一项功能,但据我所知,还没有支持的实现。请参阅此处的讨论:https://github.com/golang/go/issues/18478
因此您可能必须实现自己的转义函数。例如,您可以在官方 MySQL C 实现之后对其进行建模:https://github.com/mysql/mysql-server/blob/8.0/mysys/charset.cc#L716
请注意,这比仅使用正则表达式替换要复杂一些,因为您需要考虑多字节字符集。
关于mysql - 如何在golang服务中最小化下游服务中SQL注入(inject)的风险?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54773929/
出于纯粹的兴趣,我很好奇如何按顺序创建PI,而不是在过程结果之后生成数字,而是让数字在过程本身生成时显示。如果是这种情况,那么数字可以自行产生,我可以对以前看到的数字实现垃圾收集,从而创建一个无限系列。结果只是在Pi系列之后每秒生成一个数字。这是我通过互联网筛选的结果:这是流行的计算机友好算法,类机器算法:defarccot(x,unity)xpow=unity/xn=1sign=1sum=0loopdoterm=xpow/nbreakifterm==0sum+=sign*(xpow/n)xpow/=x*xn+=2sign=-signendsumenddefcalc_pi(digits
我正在尝试使用ruby和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
exe应该在我打开页面时运行。异步进程需要运行。有什么方法可以在ruby中使用两个参数异步运行exe吗?我已经尝试过ruby命令-system()、exec()但它正在等待过程完成。我需要用参数启动exe,无需等待进程完成是否有任何rubygems会支持我的问题? 最佳答案 您可以使用Process.spawn和Process.wait2:pid=Process.spawn'your.exe','--option'#Later...pid,status=Process.wait2pid您的程序将作为解释器的子进程执行。除
鉴于我有以下迁移:Sequel.migrationdoupdoalter_table:usersdoadd_column:is_admin,:default=>falseend#SequelrunsaDESCRIBEtablestatement,whenthemodelisloaded.#Atthispoint,itdoesnotknowthatusershaveais_adminflag.#Soitfails.@user=User.find(:email=>"admin@fancy-startup.example")@user.is_admin=true@user.save!ende
我正在为一个项目制作一个简单的shell,我希望像在Bash中一样解析参数字符串。foobar"helloworld"fooz应该变成:["foo","bar","helloworld","fooz"]等等。到目前为止,我一直在使用CSV::parse_line,将列分隔符设置为""和.compact输出。问题是我现在必须选择是要支持单引号还是双引号。CSV不支持超过一个分隔符。Python有一个名为shlex的模块:>>>shlex.split("Test'helloworld'foo")['Test','helloworld','foo']>>>shlex.split('Test"
我实际上是在尝试使用RVM在我的OSX10.7.5上更新ruby,并在输入以下命令后:rvminstallruby我得到了以下回复:Searchingforbinaryrubies,thismighttakesometime.Checkingrequirementsforosx.Installingrequirementsforosx.Updatingsystem.......Errorrunning'requirements_osx_brew_update_systemruby-2.0.0-p247',pleaseread/Users/username/.rvm/log/138121
我尝试使用不同的ssh_options在同一阶段运行capistranov.3任务。我的production.rb说:set:stage,:productionset:user,'deploy'set:ssh_options,{user:'deploy'}通过此配置,capistrano与用户deploy连接,这对于其余的任务是正确的。但是我需要将它连接到服务器中配置良好的an_other_user以完成一项特定任务。然后我的食谱说:...taskswithoriginaluser...task:my_task_with_an_other_userdoset:user,'an_othe