lua中有什么处理SQL注入的好方法？

kunsir · 2012-05-04T15:25:27+00:00

2012/5/4 刘太华 <de...@gmail.com>: > 这个upstream内的服务器数量>=3, >...

lua中有什么处理SQL注入的好方法？

kunsir

正在使用ngx_lua+lua-resty-mysql，有什么方法可以比较方便的避免SQL注入呢？

gwill.buzz

2012/5/4 huang kun <ku...@gmail.com>:
> 正在使用ngx_lua+lua-resty-mysql，有什么方法可以比较方便的避免SQL注入呢？
>

SetMiscModule https://github.com/agentzh/set-misc-nginx-module

里有set_quote_sql_str可以用。

>

lhmwzy

嗯，楼上正解。
具体的防注入还需要写程序的时候多加注意

agentzh

2012/5/4 huang kun <ku...@gmail.com>:
> 正在使用ngx_lua+lua-resty-mysql，有什么方法可以比较方便的避免SQL注入呢？

ngx_lua 提供了一个没有文档的 ngx.quote_sql_str() 方法，用法是：

    local quoted_value = ngx.quote_sql_str(value)

当然，通过 ndk.set_var API 访问 ngx_set_misc 模块的 set_quote_sql_str 指令也是可以的，例如：

    local quoted_value = ndk.set_var.set_quote_sql_str(value)

不过你需要确保 ngx_set_misc 已包含在你的 nginx 中（默认的 openresty 是包含的）。当然，第一种方法比第二种更加高效一些。

Best regards,
-agentzh

kunsir

多谢各位，另，测的时候第一次发现mysql中select userID,password from user where userID
='3810752;insert into t values(883)' 执行结果等价于 select userID,password
from user where userID =3810752，神奇。。。

On May 4, 4:06 pm, agentzh <agen...@gmail.com> wrote:
> 2012/5/4 huang kun <kun...@gmail.com>:
>
> > 正在使用ngx_lua+lua-resty-mysql，有什么方法可以比较方便的避免SQL注入呢？
>
> ngx_lua 提供了一个没有文档的 ngx.quote_sql_str() 方法，用法是：
>
>     local quoted_value = ngx.quote_sql_str(value)
>
> 当然，通过 ndk.set_var API 访问 ngx_set_misc 模块的 set_quote_sql_str 指令也是可以的，例如：
>
>     local quoted_value = ndk.set_var.set_quote_sql_str(value)
>
> 不过你需要确保 ngx_set_misc 已包含在你的 nginx 中（默认的 openresty 是包含的）。当然，第一种方法比第二种更加高效一些。
>
> Best regards,
> -agentzh

smallfish.xy

数据库会对sql里的值做转换的，你的userid是int型的吧
--

blog: http://chenxiaoyu.org

2012/5/4 huang kun <ku...@gmail.com>

多谢各位，另，测的时候第一次发现mysql中select userID,password from user where userID
='3810752;insert into t values(883)' 执行结果等价于 select userID,password
from user where userID =3810752，神奇。。。

On May 4, 4:06 pm, agentzh <agen...@gmail.com> wrote:
> 2012/5/4 huang kun <kun...@gmail.com>:

>
> > 正在使用ngx_lua+lua-resty-mysql，有什么方法可以比较方便的避免SQL注入呢？
>
> ngx_lua 提供了一个没有文档的 ngx.quote_sql_str() 方法，用法是：
>
> local quoted_value = ngx.quote_sql_str(value)
>
> 当然，通过 ndk.set_var API 访问 ngx_set_misc 模块的 set_quote_sql_str 指令也是可以的，例如：
>
> local quoted_value = ndk.set_var.set_quote_sql_str(value)
>
> 不过你需要确保 ngx_set_misc 已包含在你的 nginx 中（默认的 openresty 是包含的）。当然，第一种方法比第二种更加高效一些。
>
> Best regards,
> -agentzh

agentzh

2012/5/4 huang kun <ku...@gmail.com>:
> 测的时候第一次发现mysql中select userID,password from user where userID
> ='3810752;insert into t values(883)' 执行结果等价于 select userID,password
> from user where userID =3810752，神奇。。。
>

貌似这里你少调用了一次 read_result 方法。当第一次 read_result 方法或者 query 方法返回的 err 值为
"again" 时，表明还有更多的查询结果需要读取，需要再次调用 read_result 方法。

引用标准文档中的相关说明，则是

"If more results are following the current result, a second err return
value will be given the string again. One should always check this
(second) return value and if it is again, then she should call this
method again to retrieve more results. This usually happens when the
original query contains multiple statements (separated by semicolon in
the same query string) or calling a MySQL procedure."

更多细节请参见 https://github.com/agentzh/lua-resty-mysql

在 err 返回 "again" 时忘记再次调用 read_result 方法是常见错误，这会影响后续的操作，包括通过
set_keepalive 将之放入 cosocket 连接池的操作也会失败。

Best regards,
-agentzh