如何解决用于预处理和 SQL 注入预防的参数化查询配置
使用glue_context.write_dynamic_frame.from_jdbc_conf(更多信息here),可以使用connection_options属性preactions(以及postactions,如有必要)提交sql语句( s) 在发布主要作业之前(或之后)。
我看过很多关于如何防止 sql 注入的各种场景的材料,似乎压倒性的建议和最佳实践是实现所谓的 parameterized queries。
这一切都很好,但是当我尝试在 AWS glue Jobs(通过 PySpark)中构建和测试这种方法时,会抛出格式错误。
例如,这里是“坏”示例查询:
bad_sql = """DROP TABLE {0}""".format("secret_stuff");
或者,正确的做法是这样的:
good_sql = "DROP TABLE %(secret_table_name)s',{'secret_table_name': 'secret_stuff'}"
请注意,这两个都作为我代码的一部分包含在此块中:
glue_context.write_dynamic_frame.from_jdbc_conf(
frame = drop_null_fields,catalog_connection = glue_manual_func_args['connection_name'],connection_options = {
"dbtable": "{0}.{1}".format(glue_manual_func_args['schema_name'],glue_manual_func_args['target_table_name']),"database": glue_manual_func_args['target_database_name'],"preactions": # good_sql or bad_sql
},redshift_tmp_dir = glue_aws_func_args["TempDir"],transformation_ctx = "datasink"
)
使用第一个(错误的)查询时,一切正常并且作业在 glue 中成功运行,但是,使用第二个查询时,会引发以下错误:
调用 o92.pyWriteDynamicFrame 时出错。亚马逊无效操作:“列表”处或附近的语法错误
我在这方面受阻,并且确定解决方案与正确格式化字符串有关,但我真的很感激这方面的一些指导。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
