我正在用golang写一个面向半外部的Web服务,它使用户可以查询有关其帐户的信息,这些信息分布在多个内部旧式服务中。
我的服务将用户输入的字符串传递到多个后端RESTful API上,这些API会基于字符串进行MySQL查找以生成结果,然后将结果传递回我的服务以提供给用户。
从历史上看,这些旧版后端服务尚未暴露给用户输入,因此我不确定它们是否具有适当的防范SQL注入的防护措施。
通常,我会防止使用Prepared Statements进行SQL注入,以防止数据库引擎将用户字符串视为可分析,但是在这种情况下,我无法控制数据库调用,因为它们位于下游,审计它们并不实际。现在好了。
我该如何在golang代码中尽可能地清理用户输入,以最大程度地减少SQL注入遗漏的风险?这最终是权宜之计,直到可以审核所有下游DB调用的注入安全性为止。
在过去的工作中,我为我们的服务维护了一个设施,该设施允许临时查询。它使管理人员无需等待数周的代码部署就可以请求报告(在部署花费数周的古朴时代)。
我们不通过使服务接受任意字符串作为输入并将其作为SQL执行来支持临时报告查询。就像您确定的那样,这是非常不安全的。
它的工作方式是将报表查询以及所需的查询参数数量存储在数据库中。
管理器前端可以通过其主键来请求查询,而不是通过在Web请求中指定任意SQL字符串来进行查询。
只有DBA以及其他可能知道如何编写安全查询的开发人员或经理才被允许向该存储库添加新查询,因此可以保证对查询进行了测试和审查。
通过UI请求报表查询时,它迫使用户提供查询参数的值。在我们的例子中,它从数据库读取SQL,执行
在您的情况下,您的代码可能无法直接访问旧版服务的数据库,因此您无法执行prepare / execute和使用绑定参数。您必须提交一个集成了值的静态查询。
在其他语言中,可以通过转义使任何字符串值安全地插入到SQL查询中。请参见MySQL C API函数mysql_real_escape_string()。
数值甚至更容易。您不必转义任何内容,只需确保数字值是真实的数字。将动态值转换为数字后,可以安全地插回任何SQL字符串。
不幸的是,我认为golang SQL包不支持任何转义功能。有人要求将此功能作为功能,但据我所知,尚无受支持的实现。请参阅此处的讨论:https://github.com/golang/go/issues/18478
因此,您可能必须实现自己的转义功能。例如,您可以在正式的MySQL C实现之后对其进行建模:https://github.com/mysql/mysql-server/blob/8.0/mysys/charset.cc#L716
请注意,这比仅使用正则表达式替换要复杂一些,因为您需要考虑多字节字符集。
在Bill的答案中添加数据输入。为了确保输出数据的卫生,例如Web服务,请检查html / template:
Package template (html/template) implements data-driven templates for
generating HTML output safe against code injection.