openresty 如何做 sql注入的保护？

zhujianhua9 · 2012-10-07T17:58:58+00:00

Hello, folks! I am happy to announce the new development version of ngx_openresty, 1.2.3.7: http://openresty.org/#Download Special thanks go to all our...

openresty 如何做 sql注入的保护？

zhujianhua9

Hi,

我用 openresty 开发一个后台 service ，可能用户会输入 key ，后台的 service 将会做查询，

如何能做 sql 注入的保护？

非常感谢，任何建议。

Zhu Jianhua

smallfish.xy

用 set_quote_sql_str 过滤一下，参考：http://wiki.nginx.org/HttpSetMiscModule#set_quote_sql_str
--

blog: http://chenxiaoyu.org

2012/10/7 Jianhua Zhu <zhuji...@gmail.com>

Hi,
我用 openresty 开发一个后台 service ，可能用户会输入 key ，后台的 service 将会做查询，
如何能做 sql 注入的保护？
非常感谢，任何建议。

Zhu Jianhua

agentzh

Hello!

2012/10/7 Jianhua Zhu <zhuji...@gmail.com>:
> Hi,
> 我用 openresty 开发一个后台 service ，可能用户会输入  key ，后台的 service 将会做查询，
> 如何能做 sql 注入的保护 ？
> 非常感谢，任何建议。
>

如果是 MySQL 的话，可以直接使用 ngx_lua 中的 ngx.quote_sql_str()（貌似这个函数并不在 ngx_lua
的文档中，但包含在 ngx_lua 中也有年头了）。

如果是 PostgreSQL  的话，则需要使用 ndk.set_var.set_quote_pgsql_str() 了（其实就是直接调用
ngx_set_misc 模块的 set_quote_pgsql_str
配置指令：http://wiki.nginx.org/HttpSetMiscModule#set_quote_pgsql_str ）:)

Best regards,
-agentzh

zhujianhua9

非常感谢。这个问题困扰我很久了。

在 2012年10月8日上午3:18，agentzh <age...@gmail.com>写道：

Hello!

2012/10/7 Jianhua Zhu <zhuji...@gmail.com>:

> Hi,
> 我用 openresty 开发一个后台 service ，可能用户会输入 key ，后台的 service 将会做查询，
> 如何能做 sql 注入的保护？
> 非常感谢，任何建议。
>

如果是 MySQL 的话，可以直接使用 ngx_lua 中的 ngx.quote_sql_str()（貌似这个函数并不在 ngx_lua
的文档中，但包含在 ngx_lua 中也有年头了）。

如果是 PostgreSQL 的话，则需要使用 ndk.set_var.set_quote_pgsql_str() 了（其实就是直接调用
ngx_set_misc 模块的 set_quote_pgsql_str
配置指令：http://wiki.nginx.org/HttpSetMiscModule#set_quote_pgsql_str ）:)

Best regards,
-agentzh

zhujianhua9

求助？

调用这个函数 ngx.quote_sql_str() 需要什么其他的require吗？为何报下面的错误。

attempt to index global 'ngx' (a nil value)

为啥这个函数不放到文档里吗，很难找。

非常感谢。

在 2012年10月8日上午9:47，Jianhua Zhu <zhuji...@gmail.com>写道：

非常感谢。这个问题困扰我很久了。

在 2012年10月8日上午3:18，agentzh <age...@gmail.com>写道：

Hello!

2012/10/7 Jianhua Zhu <zhuji...@gmail.com>:

> Hi,
> 我用 openresty 开发一个后台 service ，可能用户会输入 key ，后台的 service 将会做查询，
> 如何能做 sql 注入的保护？
> 非常感谢，任何建议。
>

如果是 MySQL 的话，可以直接使用 ngx_lua 中的 ngx.quote_sql_str()（貌似这个函数并不在 ngx_lua
的文档中，但包含在 ngx_lua 中也有年头了）。

如果是 PostgreSQL 的话，则需要使用 ndk.set_var.set_quote_pgsql_str() 了（其实就是直接调用
ngx_set_misc 模块的 set_quote_pgsql_str
配置指令：http://wiki.nginx.org/HttpSetMiscModule#set_quote_pgsql_str ）:)

Best regards,
-agentzh

smallfish.xy

请参考文档：http://wiki.nginx.org/HttpSetMiscModule#set_quote_sql_str

在 ngx_lua 里调用是：ndk.set_var.set_quote_sql_str

smallfish http://chenxiaoyu.org

2013/1/14 Jianhua Zhu <zhuji...@gmail.com>

求助？
调用这个函数 ngx.quote_sql_str() 需要什么其他的require吗？为何报下面的错误。
attempt to index global 'ngx' (a nil value)
为啥这个函数不放到文档里吗，很难找。

非常感谢。

在 2012年10月8日上午9:47，Jianhua Zhu <zhuji...@gmail.com>写道：

非常感谢。这个问题困扰我很久了。

在 2012年10月8日上午3:18，agentzh <age...@gmail.com>写道：

Hello!

2012/10/7 Jianhua Zhu <zhuji...@gmail.com>:

> Hi,
> 我用 openresty 开发一个后台 service ，可能用户会输入 key ，后台的 service 将会做查询，
> 如何能做 sql 注入的保护？
> 非常感谢，任何建议。
>

如果是 MySQL 的话，可以直接使用 ngx_lua 中的 ngx.quote_sql_str()（貌似这个函数并不在 ngx_lua
的文档中，但包含在 ngx_lua 中也有年头了）。

如果是 PostgreSQL 的话，则需要使用 ndk.set_var.set_quote_pgsql_str() 了（其实就是直接调用
ngx_set_misc 模块的 set_quote_pgsql_str
配置指令：http://wiki.nginx.org/HttpSetMiscModule#set_quote_pgsql_str ）:)

Best regards,
-agentzh