我正在构建一个像这样的Ecto查询:
from item in query,where: like(item.description,^"%#{text}%")
我担心这允许在文本中注入sql.在尝试修复之前,我想看看查询是如何实际发送到数据库的.
如果我inspect the query或查看记录的内容,我会看到一些sql,但它无效.
{"SELECT i0.\"id\",i0.\"store_id\",i0.\"title\",i0.\"description\"
FROM \"items\" AS i0 WHERE (i0.\"description\" LIKE $1)",["%foo%"]}
当我将此查询传递给Repo.all时,它记录下来:
SELECT i0."id",i0."store_id",i0."title",i0."description" FROM "items" AS i0 WHERE (i0."description" LIKE $1) ["%foo%"]
但如果我将其复制并粘贴到psql中,Postgresql会给我一个错误:
ERROR: 42P02: there is no parameter $1
似乎Ecto实际上可能正在做parameterized query,如下所示:
PREPARE bydesc(text) AS SELECT i0."id",i0."description"
FROM "items" AS i0 WHERE (i0."description" LIKE $1);
EXECUTE bydesc('foo');
如果是这样,我认为这会阻止sql注入.但我只是猜测这就是Ecto的作用.
如何查看Ecto正在执行的实际sql?
Ecto仅使用预准备语句.使用ecto查询语法时,无法引入sql注入.查询语法在编译时验证不可能进行sql注入.
> Postgrex(以及Ecto)使用postgresql二进制协议(而不是最常见但效率较低的文本协议),因此PREPARE查询实际上从未作为字符串存在.
>对于大多数情况,你会看到的只是一个初始PREPARE 64237612638712636123(…)AS …后来很多EXECUTE 64237612638712636123(…)没有那么有帮助.试图将彼此联系起来会很可怕.
根据我的经验,大多数此类软件使用prepare语句并记录它们而不是原始查询,因为它更有助于理解系统的行为.
原文地址:https://www.jb51.cc/postgresql/192240.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
