mysql - 动态建表时如何避免SQL注入(inject)风险？

Question

这是根据用户提供的输入创建表的简单过程:

PROCEDURE `hackProcedure`(
IN tab_name VARCHAR(63))
BEGIN

IF (tab_name REGEXP '^[A-Za-z0-9 ]+$')
THEN
    SET @StB = CONCAT('CREATE TABLE tab_name
                      (id INT(10) PRIMARY KEY NOT NULL UNIQUE AUTO_INCREMENT,
                      name VARCHAR(45),
                      guid VARCHAR(36));');
    PREPARE statementB FROM @StB;
    EXECUTE statementB;
    DEALLOCATE PREPARE statementB;
ELSE
    -- SIGNAL some error;
END IF;
#END

在创建表之前，我检查用户输入是否仅包含字母数字值，因此据我了解，尝试对此过程进行 SQL 注入(inject)的坏人无法成功，因为无法注释掉查询的其余部分，也无法成功添加其他列。这安全吗还是我错过了一些东西？

Answer 1

它不容易受到攻击，因为您向我们展示的代码使用表名的文字值 - 而不是参数。我想你想这样做:

CONCAT('CREATE TABLE ',  tab_name, '
                  (id INT(10) PRIMARY KEY NOT NULL UNIQUE AUTO_INCREMENT,
                  name VARCHAR(45),
                  guid VARCHAR(36));');

现在，如果我用...调用你的函数会怎么样

dummy (id INT NOT NULL); DROP TABLE mysql.users; CREATE TABLE dummy2

？

它会失败，因为分号和括号将被正则表达式拒绝，但这远不是一个可靠的解决方案。

在表名周围添加反引号(只要正则表达式不允许)是一个微小的改进。

 CONCAT('CREATE TABLE `',  tab_name, '`