如何绕过Javascript中的sql注入错误

Posted 2023-03-23

【中文标题】如何绕过Javascript中的sql注入错误

【英文标题】：How to bybass sql injection error in Javascript

【发布时间】：2020-04-13 14:16:25

【问题描述】：

尝试在 javascript 中运行以下代码时出现 sql 注入错误。我正在尝试使用参数或某些占位符来更新此方法以绕过注入错误，但我不确定。问题是，由于要创建一个安全的网站，下面连接为“i”的变量可以用一个参数替换，这样网站在从数据库中选择记录时就不会受到攻击。我已经在 php 中看到了对这种注入的修复，就像下面文章中的一个试图了解如何在 Javascript 中解决这个问题。在下面的“我”可能是“名字”。即，Select name as overday_disolay from country，取用户在表单中输入的名称，并将占位符“i”替换为用户提供的“名称”。下面的文章解释了更多，但它不是 javascript 中的修复（我不能使用文章中使用的相同功能，所以我需要在 Javascript 中解决）。应用程序抛出注入错误。

https://www.acunetix.com/websitesecurity/sql-injection/

 function getUnionDataSql()

    var sql = "";

    sql += " SELECT DISTINCT "+ i+ " AS overday_display FROM country UNION"

【问题讨论】：

绕过？为什么不修复代码？

JavaScript 在哪里执行？ Node.js？

@DanMcGhan 该脚本嵌入在 xml 中并输出到 jsp，因为我使用的应用程序是基于 Java 的。不确定您是否听说过“Archibus”。是的，我仍然可以使用 Java 来运行 sql 语句并调用 java 类作为工作流，但是这次脚本是在 javascript 中，我只想能够在 javascript 中获得一个函数，它允许我使用参数而不是变量在我的 sql 语句中

看看这个，如果它回答了你的问题，请告诉我：github.com/oracle/node-oracledb/issues/946 适用于 Node.js，但同样的规则适用于任何地方。

@DanMcGhan 对此表示感谢。这可能会有所帮助，但我最终通过在内部更新应用程序中的配置找到了出路。

【参考方案1】：

您不应将变量直接传递到您的 SQL 语句中。这将允许用户在您的 SQL 语句中插入恶意代码。

因此，您应该提前使用 SQL 包的转义函数来避免这种情况。

【讨论】：

谢谢 Marvin，我知道我不能传递这样的变量，这正是我问是否有一个函数可以在 Javascript 中的 oracle 中使用的原因。上面的链接显示了它在 PHP 中的处理方式。此链接还显示了 java 和其他 3 种语言的修复程序，但我正在寻找一种方法来在指向 oracle DB 的 JavaScript 中做到这一点

【参考方案2】：

我能够解决这个问题。内部应用程序中允许有 2 个选项。一种是使用子字符串或使用参数代替上述变量。另一种是在应用程序中配置保留字。