SQL WHERE 子句的正则表达式

Posted 2023-05-08

【中文标题】SQL WHERE 子句的正则表达式

【英文标题】：Regex for SQL WHERE clause

【发布时间】：2008-10-15 13:43:09

【问题描述】：

对于 Web 应用程序，我想构建一个 WHERE 子句并将其提交给服务器。在那里，我会将其附加到查询中。该子句将类似于

LASTNAME LIKE 'Pep%' AND (DOB BETWEEN '19600101' AND '19601231 OR SALARY<35000)

您能否提出一个正则表达式来在将子句提交到 SQL Server 之前对其进行验证？

（是的，当然，我想要 ORDER 子句的正则表达式）

【参考方案1】：

这是一个非常糟糕的主意。我建议您构建一个过滤系统，而不是用户可以在表单中选择各种选项，然后构建正确的 sql 服务器端，而不是让自己面临各种注入攻击。

作为可能出错的示例，请考虑以下内容：

LASTNAME LIKE 'Pep%'--
DROP TABLE People
--

这会将 DROP TABLE 命令注入到您的 SQL 中，这将很难检测到。您当然可以删除 -- 和 /* 之类的内容，但我保证如果您这样做，有人可以找到方法。

【讨论】：

这正是我所做的，通常在 SQL Server 上使用基于表的函数来提高效率。

好答案——我们必须不断劝阻程序员不要制造更多的 SQL 注入漏洞！

【参考方案2】：

你不建造

LASTNAME LIKE 'Pep%' AND (DOB BETWEEN '19600101' AND '19601231 OR SALARY<35000)

你构建

LASTNAME LIKE @LastName AND (DOB BETWEEN @dobStart AND @dobEnd OR SALARY<@MaxSalary)

并将这些人作为参数传入。没有正则表达式，不用大惊小怪。

【参考方案3】：

其他几位评论者指出，允许用户输入来确定 SQL 语法是一个坏主意，并造成了 SQL 注入漏洞。

请注意，评论者对此意见一致，并且 *** 的总“声誉”超过 14,000！

但撇开这一点不谈，您问的是如何编写正则表达式来匹配任意 SQL 语法。答案是你不能用正则表达式来做到这一点。

在这种情况下，“常规”表示表达式可以匹配某一类输入语言，也可以用deterministic finite state-machine 表示（有点像流程图）。

例如，匹配 SQL 表达式需要做的一件简单事情是能够匹配嵌套括号。你不能设计一个有限的状态机来匹配嵌套括号，因为它需要能够计算你在任何给定点嵌套括号的深度。为此，您需要解析器来实现堆栈，但这是正则表达式无法做到的。

【讨论】：

有了您的回复，我们现在已经接近 18,000（并且还在上升）。

在他的辩护中，他只希望表达式匹配查询的一部分。但是，它是最有可能需要嵌套括号示例的部分。

【参考方案4】：

我想稍微扩展一下 Jimmy 的回答。

LASTNAME LIKE 'Pep%' 

那只是邪恶。永远不要这样做。 SQL 字符串应如下所示：

LASTNAME LIKE @LastName + '%'

现在的问题是，在您的情况下，您根本不知道是否需要进行姓氏检查。您所拥有的只是 SELECT 和 FROM 子句以及 lastname 列的文本框，其中可能有也可能没有值。美好的。这仍然不是像第一个例子那样做的借口。您需要做的是像这样构建您的查询（现在使用 C#，因为您没有提供客户端语言）：

//create a place to keep parameters until we can construct the SqlCommand object
List<SqlParameter> params = new List<SqlParameter>();
SqlParameter p;

// the StringBuilder is MUCH more efficient the concatenating strings
// the 1=1 is a placeholder so you can always just append " AND whatever"
StringBuilder sql = new StringBuilder("SELECT ... \nFROM .... \nWHERE 1=1\n");

// Check and add a parameter for the LastName column if needed
if (!String.IsNullOrEmpty(txtLastName.Text))

   sql.AppendLine("AND LASTNAME LIKE @LastName + '%'");
   p = new SqlParameter("@LastName", SqlDbType.VarChar, 50);  // use the actual datatype here
   p.Value = txtLastName.Text;
   params.Add(p);      


// Check and add a parameter for another field if needed
if (!String.IsNullOrEmpty(txtSomeOtherField.Text))

   sql.AppendLine("AND OtherField LIKE @OtherParam + '%'");
   p = new SqlParameter("@OtherParam", SqlDbType.VarChar, 255);
   p.Value = txtSomeOtherField.Text;
   params.Add(p);


// ...  You could also write a method to abstract the code in the if blocks ...

// you haven't told us _how_ the user will specify the order, so I'm leaving that implementation detail out for now
sql.Append(" ORDER BY LastName, OtherField");  

// now we can finally get our SQL String and build the (SAFE!) SqlCommand object:
SqlCommand cmd = new SqlCommand(sql.ToString(), YourSqlConnectionObjectHere);
cmd.Parameters.AddRange(params.ToArray());

现在您有了一个动态生成的 where 子句，没有注入的可能性。它之所以有效，是因为发送到数据库的字符串的 每个 部分都是代码中的精确文字，即使这些文字是通过多个步骤组装而成的。参数中使用的值永远不会替换到字符串中，而是作为数据单独发送到服务器。

当然这是 C# (.Net)，但几乎每个现代平台都有某种形式的参数化查询/准备语句功能，您应该使用它。

【参考方案5】：

where 子句中元素的可能性是巨大的。显然，您有 AND 和 OR 以及 BETWEEN 和 IN 列表以及其他运算符，加上括号，但您也可以调用系统过程、用户定义的函数，并且根据您正在使用的 RDBMS，整个子查询。还有一些查询可能在语法上是正确的，但仍然是非法的。

覆盖这个的单个正则表达式将 (a) 非常大并且 (b) 可能无法覆盖所有情况。您不仅真的不想这样做，而且可能根本不可能。

【参考方案6】：

正如已经建议的那样，正则表达式是错误的工具，您真正需要的是 SQL 解析器。我不知道任何 .Net SQL 解析器，但我确信 Google 搜索会出现一些。

【参考方案7】：

您可能想看看Subsonic。它旨在为您生成一个数据层，并让您使用对象来构建您的 where 子句。