javascript - 这样转义 SQL 查询安全吗？

Question

我目前正在开发一个 NodeJS 后端脚本，该脚本解析传入的 HTTP 请求以写入和读取 MySQL 数据库以进行工作。我试图通过使用一种双层保护来保护它免受 SQL 注入(inject)。

要写入数据库，用户需要提供有效 JSON。这就是 JSON 的键需要的方式，以便脚本写入数据库。否则，请求将被取消。

{
    "uuid": "1234-5678-abcd-efgh",
    "product_id": 6,
    "product_extras": "color=red",
    "product_count": 2,
    "buyer_name": "X Y",
    "shipping_address": "XY Street 5"
}

检查此输入的第一层是一个非常基本的黑名单。这里的 USER_INPUT 变量是上面已经通过验证过程的 JSON。

let BLACKLIST = ["DROP ", "DELETE ", "INSERT ", "UPDATE ", "SELECT ", "WHERE ", "ALTER "];
let dont_execute = false;

for(var i = 0; i < BLACKLIST.length; i++) {   
    if(JSON.stringify(USER_INPUT).toUpperCase().includes(BLACKLIST[i].toUpperCase())) {
        console.log("\x1b[31mreceived blacklisted command - aborting");
        dont_execute = true;
        return false;
    }
}

验证后，如果 dont_execute 仍然为假，第二层将被调用，因此查询将被转义并像这样发送:

// setting.sqlconnection.table_name is equal to "orders" in this case. Also this variable can't be changed or specified by the user. It's pulled from a settings.json file

sql.sendQuery("INSERT INTO " + setting.sqlconnection.table_name + " (uuid, productid, orderid, productextras, productcount, buyername, shippingaddress) VALUES (" + sqlconnection.escape(uuid) + ", " + sqlconnection.escape(parseddata.product_id) + ", " + null + ", " + sqlconnection.escape(parseddata.product_extras) + ", " + sqlconnection.escape(parseddata.product_count) + ", " + sqlconnection.escape(parseddata.buyer_name) + ", " + sqlconnection.escape(parseddata.shipping_address) + ")");

我已经尝试过很多不同的注入(inject)方式，比如这个:

{
    "uuid": "1234-5678-abcd-efgh",
    "product_id": 6,
    "product_extras": "color=red",
    "product_count": 2,
    "buyer_name": "X Y",
    "shipping_address": "');DROP orders;--"
}

正如我所料，它没有起作用，因为首先它在第一个黑名单层中被咳嗽。但是在禁用它之后只是为了测试整个 SQL 查询就像一个字符串一样被解释为撇号被转义(' 变成了 \')，这正是我通缉。据我所知，将与受 SQLI 感染的 JSON 一起发送的查询最终将如下所示:

INSERT INTO orders (guid, productid, orderid, productextras, productcount, buyername, shippingaddress) VALUES ("1234-5678-abcd-efgh", 6, null, "color=red", 2, "X Y", "\');DROP orders--")

但问题是，在向我的老板展示这个之后，他说它不安全并且它仍然容易受到 SQLI 的攻击。所以我的问题是他是否正确，如果正确，我可以做些什么来改进它。

附加信息:
我正在使用 npm 包 mysql 进行数据库连接
我正在使用 XAMPP 和 MySQL 在本地托管数据库

如果我不能提供更多信息，我很抱歉，但我很确定我被允许发布比这更多的东西。

Answer 1

拒绝名单方法必然会遗漏某些情况。您需要更多地研究查询是如何形成的，并且您应该为您的代码编写全面的单元测试，以便审查您的代码的任何人都可以看到您测试了哪些案例。

拒绝名单方法也会产生误报。例如，您似乎无法插入任何包含单词“DROP”的数据。这将阻止一些合法的数据值。

这两个问题都可以通过使用参数化查询来解决，正如上面的评论所建议的那样。您说您将“看一看”参数的使用，但您应该将其视为防止 SQL 注入(inject)的主要解决方案，而不是任何类型的可选或高级用法。

但是，参数仅用于代替标量值(字符串、数字、日期)。您不能将参数用于表名或列名或其他标识符、SQL 表达式或 SQL 关键字。这些情况可能不太常见，但您的动态表名称中至少有一个示例。

有害输入不仅仅来自用户。它可以来自文件、Web 服务、JSON 文档。它甚至可以来自您自己的数据库!任何可能包含奇怪字符的内容都可能导致 SQL 注入(inject)。

SQL 注入(inject)不一定是恶意的。它可能只是一个错误，更有可能导致您的 SQL 查询无效，而不是导致数据泄露。

补充参数化查询的解决方案通常是白名单。例如，如果您想知道配置文件中的表名是否合法，请对照已知表名列表进行检查。一些应用程序将其保存在一个常量数组中。一些应用程序查询 INFORMATION_SCHEMA 以获取最新的表列表。

见过电子商务数据库中名为ORDER 的表吗？这会导致 SQL 变得困惑，因为 ORDER 是一个保留字。您应该在反引号中分隔表名，以防它们是 SQL 保留字或包含标点符号或空格。

这是在表名周围添加反引号的示例:

sql.sendQuery("INSERT INTO `" + setting.sqlconnection.table_name + "` (uuid, ...