我正在构建这样的ecto查询:
from item in query,
where: like(item.description, ^"%#{text}%")
我担心这允许text
中的SQL注入。在尝试解决此问题之前,我想看看查询实际上是如何发送到数据库的。
如果我检查查询或查看已记录的内容,我会看到一些SQL,但这无效。
例如,检查查询向我展示了:
{"SELECT i0."id", i0."store_id", i0."title", i0."description"
FROM "items" AS i0 WHERE (i0."description" LIKE $1)",
["%foo%"]}
当我将此查询传递给Repo.all
时,它会记录以下内容:
SELECT i0."id", i0."store_id", i0."title", i0."description"
FROM "items" AS i0 WHERE (i0."description" LIKE $1) ["%foo%"]
但是,如果我将其复制并粘贴到psql
中,PostgreSQL给了我一个错误:
错误:42P02:没有参数$ 1
似乎ECTO实际上可能正在做一个参数化查询,例如:
PREPARE bydesc(text) AS SELECT i0."id",
i0."store_id", i0."title", i0."description"
FROM "items" AS i0 WHERE (i0."description" LIKE $1);
EXECUTE bydesc('foo');
如果是这样,我认为这将防止SQL注入。但是我只是猜想这就是Ecto的作用。
我如何查看ecto正在执行的实际SQL?
ecto仅使用准备的语句。使用ecto查询语法时,不可能引入SQL注入。查询语法在编译时验证了不可能的SQL注入。
确切地显示执行的查询可能很困难:
- PostGrex(因此ECTO)使用PostgreSQL二进制协议(而不是最常见但效率较低的文本协议),因此
PREPARE
查询实际上从未作为字符串实际上存在。 - 在大多数情况下,您会看到的所有最初的
PREPARE 64237612638712636123(...) AS ...
,然后是很多EXECUTE 64237612638712636123(...)
,这并不有用。试图将一个与另一个联系将是可怕的。
根据我的经验,大多数这种软件,使用准备语句并将其记录而不是原始查询,因为它对了解系统的行为更有帮助。
是的,这是ECTO执行的确切SQL(它在内部使用DB_Connection软件包使用准备好的查询),并且该代码中没有SQL注入。可以通过打开所有执行的SQL查询的记录来通过将log_statement
更改为postgresql.conf
中的all
:
...
log_statement = 'all'
...
然后重新启动PostgreSQL并运行查询。对于以下查询:
Repo.get(Post, 1)
Repo.get(Post, 2)
已记录:
LOG: execute ecto_818: SELECT p0."id", p0."title", p0."user_id", p0."inserted_at", p0."updated_at" FROM "posts" AS p0 WHERE (p0."id" = $1)
DETAIL: parameters: $1 = '1'
LOG: execute ecto_818: SELECT p0."id", p0."title", p0."user_id", p0."inserted_at", p0."updated_at" FROM "posts" AS p0 WHERE (p0."id" = $1)
DETAIL: parameters: $1 = '2'