sql – 如何避免注入按运行时值排序查询

当查询允许您通过传入参数对列进行排序时,这是一个常见问题.以下是我尝试使用ColdFusion ORM的内容.我知道这样做会为SQL注入添加一个安全循环漏洞.由于ORDER BY不能放置参数,我们必须将它追加到查询本身.我已经逃脱了一些易受攻击的角色,但我仍然不能说这是安全的(来自SQL注入). ESAPI提供了函数encodeForSQL(),但这不适用于SQL Server(尽管它可以与MYSQL一起使用).

我通常使用的另一种方法是,不是在参数中传递列名,而是传递一些数值并使用switch-case来匹配正确的列名…但这是维护的增加.

当我们不能使用命名参数时,有没有什么好的方法可以在SQL(或HQL)中转义排序参数？

<cfscript>
    var gridstruct = {};
    var isPaging = 0;
    var hql = "FROM tbl6 order by #arguments.sortcolumn#";      
    x = entitytoquery(ORMexecuteQuery(hql,false));
</cfscript>

解决方法

例如：

if (!isValid("regex",arguments.sortcolumn,"list|of|valid|values|here")){
    throw(type="IllegalArgumentException");
}

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!