这个问题出现在一次代码审查中,涉及一个必须使用字符串插值(C#(构建的选择查询,我似乎找不到引用。例如,一个查询可能看起来像:
var sql = "SELECT * FROM {someTable} WHERE {indexedField} = ?";
由于WHERE子句中使用了param,我认为这两种方式都应该是安全的;不过,如果能得到确认就好了。几次简单的尝试表明,即使尝试了注入,并且查询最终看起来像这样的
Select * from SomeTable; SELECT * FROM SomeOtherTable Where IndexedField = "1"
引擎在尝试运行多个查询时仍然会出错。
像Select * from SomeTable; SELECT * FROM SomeOtherTable Where IndexedField = "1"这样的注入确实会出错,因为QLDB驱动程序每个查询需要一个txn.Execute()。
为了降低注射的风险,我建议:
- 清除字符串插值以拒绝潜在的恶意参数
- 利用允许PartiQL命令和使用IAM策略的分类账表的访问分离的QLDB功能,https://aws.amazon.com/about-aws/whats-new/2021/06/amazon-qldb-supports-iam-based-access-policy-for-partiql-queries-and-ledger-tables/
对于第二个选项,您可以为某个表定义权限,以便在尝试注入时拒绝不需要的访问。
是否需要字符串插值?
https://docs.aws.amazon.com/qldb/latest/developerguide/driver-quickstart-dotnet.html#driver-quickstart-dotnet.step5使用参数可能最有助于防止sql注入。