SQL 注入

    延续之前的 调用代码的使用,

    假设我们在用户登录使用上述 SQL 语句查询账号和密码是否正确,用户可以通过 GET 方式请求并发送登录信息比如:

    1. # curl http://localhost/login?name=person&password=12345

    那么我们上面的代码通过 ngx.var.arg_namengx.var.arg_password 获取查询参数,并且与 SQL 语句格式进行字符串拼接,最终 sql_normal 会是这个样子的:

    1. name="' or ''='"
    2. password="' or ''='"

    那么这个 就会变成一个永远都能执行成功的语句了。

    这就是一个简单的 SQL Inject(注入)的案例,那么问题来了,面对这么凶猛的攻击者,我们有什么办法防止这种 SQL 注入呢?

    很简单,我们只要把传入参数的变量做一次字符转义,把不该作为破坏 SQL 查询语句结构的双引号或者单引号等做转义,把 ' 转义成 \',那么变量 namepassword 的内容还是乖乖的作为查询条件传入,他们再也不能为非作歹了。

    1. ndk.set_var.set_quote_pgsql_str()
    2. ngx.quote_sql_str()

    对这三个函数,解释如下:

    • 前面两个是 跳转调用,其实是 HttpSetMiscModule 这个模块提供的函数,是一个 C 模块实现的函数;
      • set_quote_pgsql_str() 是用于 PostgreSQL 格式的 SQL 语句字符转义。
    • ngx.quote_sql_str() 是一个 ngx_lua 模块中实现的函数,也是用于 MySQL 格式的 SQL 语句字符转义。

    让我们看看代码怎么写:

    注意上述代码有两个变化:

    • ngx.quote_sql_str()ngx.var.arg_name 和 包了一层,把返回值拼接起来组成 SQL 语句。