我正在学习如何使用 SQL Alchemy,并且正在尝试重新实现以前定义的 API,但现在使用的是 Python。
REST API 具有以下查询参数:
myService/v1/data?range=time:2015-08-01:2015-08-02
所以我想映射类似 field:FROM:TO 的内容来过滤一系列结果,例如日期范围。
这就是我现在正在使用的:
rangeStatement = range.split(':')
if(len(rangeStatement)==3):
query = query.filter(text('{} BETWEEN "{}" AND "{}"'.format(*rangeStatement)))
因此,这将产生以下 WHERE 条件:
WHERE time BETWEEN "2015-08-01" AND "2015-08-02"
我知道 SQL Alchemy 是一个强大的工具,它允许创建类似 Query.filter_by(MyClass.temp) 的查询,但我需要 API 请求尽可能开放。
所以,我担心有人可以在 range 参数中传递类似 DROP TABLE 的内容并利用 text 函数
最佳答案
如果查询是使用字符串格式构建的,那么 sqlalchemy.text 将不会阻止 SQL 注入(inject)——“注入(inject)”将已经存在于查询文本中。然而,动态构建查询并不困难,在本例中使用 getattr获取对该列的引用。假设您正在使用带有模型类 Foo 和表 foos 的 ORM 层,您可以这样做
import sqlalchemy as sa
...
col, lower, upper = 'time:2015-08-01:2015-08-02'.split(':')
# Regardless of style, queries implement a fluent interface,
# so they can be built iteratively
# Classic/1.x style
q1 = session.query(Foo)
q1 = q1.filter(getattr(Foo, col).between(lower, upper))
print(q1)
或
# 2.0 style (available in v1.4+)
q2 = sa.select(Foo)
q2 = q2.where(getattr(Foo, col).between(lower, upper))
print(q2)
各自的输出是(参数会在执行时绑定(bind)):
SELECT foos.id AS foos_id, foos.time AS foos_time
FROM foos
WHERE foos.time BETWEEN ? AND ?
和
SELECT foos.id, foos.time
FROM foos
WHERE foos.time BETWEEN :time_1 AND :time_2
SQLAlchemy 会将值的引用委托(delegate)给引擎正在使用的连接器包,因此您可以像连接器包* 提供的一样好地防止注入(inject)。
* 一般来说,我认为正确的引用应该可以很好地防御 SQL 注入(inject),但我还不够专业,无法自信地说它 100% 有效。不过,它比从字符串构建查询更有效。
关于python - SQLAlchemy 文本函数是否暴露于 SQL 注入(inject)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/69276393/