问题描述
这个问题是在代码审查中提出的,涉及到必须使用字符串插值 (C#) 构造的选择查询,我似乎无法以某种方式找到参考。例如,查询可能类似于:
var sql = "SELECT * FROM {soMetable} WHERE {indexedField} = ?";
因为在 WHERE 子句中使用了参数,我认为这应该是安全的;但是,如果能得到确认就好了。一些简单的尝试表明,即使尝试进行注入并且查询最终看起来像这样
Select * from SoMetable; SELECT * FROM SomeOtherTable Where IndexedField = "1"
引擎在尝试运行多个查询时仍会出错。
解决方法
需要字符串插值的任何特殊原因?
https://docs.aws.amazon.com/qldb/latest/developerguide/driver-quickstart-dotnet.html#driver-quickstart-dotnet.step-5 使用参数可能最有助于防止 sql 注入。
,像 Select * from SomeTable; SELECT * FROM SomeOtherTable Where IndexedField = "1"
这样的注入确实会出错,因为 QLDB 驱动程序需要每个查询一个 txn.Execute()
。
为了降低注射风险,我建议:
- 清理字符串插值以拒绝潜在的恶意参数
- 利用 QLDB 功能,允许使用 IAM 策略通过 PartiQL 命令和分类帐表分离访问,https://aws.amazon.com/about-aws/whats-new/2021/06/amazon-qldb-supports-iam-based-access-policy-for-partiql-queries-and-ledger-tables/
对于第二个选项,您可以为某些表定义权限以在注入尝试时拒绝不需要的访问。