Doctrine queryBuilder:addOrderBy() 方法中的 SQL 注入风险?
Posted
技术标签:
【中文标题】Doctrine queryBuilder:addOrderBy() 方法中的 SQL 注入风险?【英文标题】:Doctrine queryBuilder: SQL Injection risk in addOrderBy() method? 【发布时间】:2017-04-22 12:08:39 【问题描述】:我在Symfony
2.8 项目中使用Doctrine
,我想知道在使用queryBuilder
的addOrderBy()
方法时是否存在SQL 注入风险:
// Order options. Real code does not specify this manually, but receives
// the options via user form input
$orderBy' = array(
'column1' => 'ASC',
'column2' => 'DESC',
...
'columnN' => 'ASC',
);
$qb = $this->em->createQueryBuilder();
...
foreach ($orderBy as $column => $orderOption)
$qb->addOrderBy("e.$column", $orderOption);
// Does not work:
// $qb->addOrderBy("e.$column", ':orderOption')
// ->setParameter('orderOption', $orderOption);
//
// Error: Expected end of string, got ':orderOption'"
// Result is something like:
...ORDER BY e0_.column1 ASC, e0_.column2 DESC...
问题在于,订单选项是通过用户表单输入接收的,可以将其操作为 ; DROP TABLE someTable
而不是 ASC
或 DESC
。
我已经尝试过了,但是查询生成器似乎不接受由;
分隔的多个查询,这并不意味着不可能有任何其他/更好的注入 :-)
当然,通过过滤收到的结果并跳过所有无效的搜索选项,可以轻松解决问题。但我想了解,如果一般是addOrderBy()
方法。 将任何值传递给方法是否省钱,Doctrine
会处理其余部分,还是存在潜在风险?
我想知道为什么 ->setParameter()
方法不起作用,就像使用 ->where()
时一样。
【问题讨论】:
【参考方案1】:您可以使用Expr
类:http://docs.doctrine-project.org/projects/doctrine-orm/en/latest/reference/query-builder.html#the-expr-class
或返回有效值的简单函数/方法:
function orderOption($option, $defaultOption = 'ASC')
if (in_array(strtoupper($option), ['ASC', 'DESC'])
return $option;
return $defaultOption;
【讨论】:
谢谢,但正如问题中所解释的那样,这与寻找保存过滤器功能无关,而是关于addOrderBy()
是否首先存在风险。
所以,使用Expr
。
我不想使用Expr
:) 我想了解使用addOrderBy()
是否存在风险..
没有风险,因为查询构建器将创建 DQL 查询。可能发生的情况是引发异常。
仅 DQL 并不能防止 SQL 注入。一些查询生成器可以被认为是保存的,但不是全部。问题是,addOrderBy()
是否保存。【参考方案2】:
简短的回答是表单提交的列名实际上可以用于 sql 注入攻击。 Doctrine 假定您已正确验证列(和表)名称。
教义代码相当容易阅读,对于这些类型的问题值得一看:
public function addOrderBy($sort, $order = null)
$orderBy = ($sort instanceof Expr\OrderBy) ? $sort : new Expr\OrderBy($sort, $order);
return $this->add('orderBy', $orderBy, true);
请注意,在查询中使用 Expr 没有任何价值。 Doctrine 会为您生成它们。
$this->add 有点复杂,但基本上第二个参数最终被传递,没有转义或过滤等。
我想知道为什么 ->setParameter() 方法不起作用,因为它会 当使用 ->where()
重要的概念是准备好的语句只保护值而不是列名或表名。
同样,过滤来自野外的表/列名称完全由您决定。并且查看来源可以提供信息。
【讨论】:
以上是关于Doctrine queryBuilder:addOrderBy() 方法中的 SQL 注入风险?的主要内容,如果未能解决你的问题,请参考以下文章
学说:ORM QueryBuilder 或 DBAL QueryBuilder
Doctrine preLoad Listener 在执行前操纵 QueryBuilder