如何解决QLDB/PartiQL 中是否存在 SQL 注入攻击
这个问题是在代码审查中提出的,涉及到必须使用字符串插值 (C#) 构造的选择查询,我似乎无法以某种方式找到参考。例如,查询可能类似于:
var sql = "SELECT * FROM {soMetable} WHERE {indexedField} = ?";
因为在 WHERE 子句中使用了参数,我认为这应该是安全的;但是,如果能得到确认就好了。一些简单的尝试表明,即使尝试进行注入并且查询最终看起来像这样
Select * from SoMetable; SELECT * FROM SomeOtherTable Where IndexedField = "1"
引擎在尝试运行多个查询时仍会出错。
解决方法
需要字符串插值的任何特殊原因?
https://docs.aws.amazon.com/qldb/latest/developerguide/driver-quickstart-dotnet.html#driver-quickstart-dotnet.step-5 使用参数可能最有助于防止 sql 注入。
,像 Select * from SomeTable; SELECT * FROM SomeOtherTable Where IndexedField = "1" 这样的注入确实会出错,因为 QLDB 驱动程序需要每个查询一个 txn.Execute()。
为了降低注射风险,我建议:
- 清理字符串插值以拒绝潜在的恶意参数
- 利用 QLDB 功能,允许使用 IAM 策略通过 PartiQL 命令和分类帐表分离访问,https://aws.amazon.com/about-aws/whats-new/2021/06/amazon-qldb-supports-iam-based-access-policy-for-partiql-queries-and-ledger-tables/
对于第二个选项,您可以为某些表定义权限以在注入尝试时拒绝不需要的访问。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
