原文地址:https://blog.csdn.net/ljp1919/article/details/78559384
背景:
假设我们在用户登录使用上 SQL 语句查询账号是否账号密码正确,用户可以通过 GET 方式请求并发送登录信息比如:
http://localhost/login?name=person&password=12345
那么我们上面的代码通过 ngx.var.arg_name 和 ngx.var.arg_password获取查询参数,并且与 SQL 语句格式进行字符串拼接,最终 sql语句会是这个样子的:
local sql = select id, name from user where name='person' and password='12345' limit 1;正常情况下,如果 person 账号存在并且 password 是 12345,那么 sql 执行结果就应该是能返回 id 号的。这个接口如果暴露在攻击者面前,那么攻击者很可能会让参数这样传入:
name="' or ''='"
password="' or ''='"那么这个 sql语句就会变成一个永远都能执行成功的语句了。
local sql = select id, name from user where name='' or ''='' and password='' or ''='' limit 1;这就是一个简单的 sql注入case,如何防止这种 SQL 注入呢?
解决方案:
只需要对传入参数的变量做一次字符转义,把不该作为破坏 SQL 查询语句结构的双引号或者单引号等做转义,把 ’ 转义成 \’,那么变量 name 和 password 的内容将严格作为查询条件传入。
那么怎么做到字符转义呢?要知道每个数据库支持的 SQL 语句格式都不太一样啊,尤其是双引号和单引号的应用上。对于本文使用的ngx_lua模块,我们采用ngx.quote_sql_str函数进行SQL 语句字符转义。
实现如下即可:
local name = ngx.quote_sql_str(ngx.var.arg_name)
local password = ngx.quote_sql_str(ngx.var.arg_password)在此基础上再进行sql语句的拼接。
--------------------- 本文来自 jasonliu1919 的CSDN 博客 ,全文地址请点击:https://blog.csdn.net/ljp1919/article/details/78559384?utm_source=copy