ruby-on-rails - Rails 5 SQL 注入(inject)

Question

我已经在各种 SO 线程、指南等上阅读了一段时间...但所有答案都是相互矛盾和矛盾的。

好像有很多类似的方法，而且很多答案都说使用不同的方法。

• 清理
• sanitize_conditions
• sanitize_sql
• sanitize_sql_array
• sanitize_sql_for_assignment
• sanitize_sql_for_conditions
• sanitize_sql_hash
• sanitize_sql_hash_for_assignment
• sanitize_sql_hash_for_conditions
• sanitize_sql_like

我正在尝试编写一个“原始查询”适配器，让我可以运行原始 Postgres 查询，但允许我插入来自危险用户输入的我自己的参数。

我不能在这少数情况下使用 AR，因为我正在进行复杂的经纬度计算、聚合函数、复杂的子查询等。

到目前为止，我已经尝试了两种方法:

方法一

对于这个方法，我不知道 sanitize 是否是上面的最佳选择，或者它是否会在 100% 的情况下工作...(我只使用 Postgres)

class RawQuery

  def exec(prepared, *params)
    prepared = query.dup
    params.flatten.each_with_index do |p, i|
      prepared.gsub!("$#{i + 1}", ActiveRecord::Base.sanitize(p))
    end
    ActiveRecord::Base.connection.exec_query(prepared)
  end

end

简单的用法示例(当然通常不会这么简单，或者我会直接使用 AR):

RawQuery.new.exec('SELECT * FROM users WHERE name = $1', params[:name])

此外，sanitize 似乎委托(delegate)给了 quote .但是根据this SO post它说简单地用单引号括起来是不安全的……所以我不知道。

方法二

我不确定这是否同样安全，但它似乎使用了实际的 PG 准备函数(我认为它是 100% 安全的)。唯一的问题是 Rails 不会将其打印到控制台，也不包括 SQL 执行时间(这会破坏我的分析工具)。

class RawQuery

  def prepare(query, *params)
    name = "raw_query_#{SecureRandom.uuid.gsub('-', '')}"
    connection = ActiveRecord::Base.connection.raw_connection
    connection.prepare(name, query)
    connection.exec_prepared(name, params)
  end

end

使用方法相同:

RawQuery.new.prepare('SELECT * FROM users WHERE name = $1', params[:name])

---

一种方法比另一种方法更安全吗？两者都 100% 安全吗？

我的应用程序总是远远超出 Rails 的 SQL 能力范围，我需要一个可以包含在我所有项目中的良好库，我知道它是完全安全的。

Answer 1

使用 quote 是安全的。我在 the page you linked to 上阅读了答案，而且我没有看到有人说 quote 是不安全的。我看到你关于使用“引号”的问题。是的，如果您只是在字符串周围加上引号，那是不安全的，例如:

q = "SELECT * FROM users where email = '#{params[:email]}'"

但是使用quote(方法)没问题:

q = "SELECT * FROM users where email = #{connection.quote(params[:email])}"

您可以在控制台中尝试并尽力打破它，但我认为您无法:

2.3.3 :003 > ActiveRecord::Base.connection.quote("f''oo")                                                                              
 => "'f''''oo'"

如果您成功了，我相信 Rails 团队会(私下)想知道!但如您所见，quote 方法不仅仅在开头和结尾添加引号。

此外，由于您说您正在寻找权威引用，源代码本身的注释表明引用用户输入是这些功能的预期目的:

https://github.com/rails/rails/blob/2471e6391dfe71cfbb8621bdf573729d961d3209/activerecord/lib/active_record/connection_adapters/abstract/quoting.rb#L6-L13

# Quotes the column value to help prevent
# {SQL injection attacks}[http://en.wikipedia.org/wiki/SQL_injection].
def quote(value)

https://github.com/rails/rails/blob/0f1d0b1b5254e3678abaabbebb3362a100c10262/activerecord/lib/active_record/connection_adapters/postgresql/quoting.rb#L17-L20

# Quotes strings for use in SQL input.
def quote_string(s) #:nodoc:

(请注意，我正在为注释显示 quote_string，但您可能应该使用 quote，它会尝试找出数据类型并执行适当的操作。)

顺便说一句，这里有一个与您的问题类似的问题，我在 2014 年回答了这个问题，还有一些替代方案:How to execute a raw update sql with dynamic binding in rails