我正在构建一个像这样的Ecto查询:
from item in query,where: like(item.description,^"%#{text}%")
我担心这允许在文本中注入sql.在尝试修复之前,我想看看查询是如何实际发送到数据库的.
如果我inspect the query或查看记录的内容,我会看到一些sql,但它无效.
{"SELECT i0.\"id\",i0.\"store_id\",i0.\"title\",i0.\"description\"
FROM \"items\" AS i0 WHERE (i0.\"description\" LIKE $1)",["%foo%"]}
当我将此查询传递给Repo.all时,它记录下来:
SELECT i0."id",i0."store_id",i0."title",i0."description" FROM "items" AS i0 WHERE (i0."description" LIKE $1) ["%foo%"]
但如果我将其复制并粘贴到psql中,Postgresql会给我一个错误:
ERROR: 42P02: there is no parameter $1
似乎Ecto实际上可能正在做parameterized query,如下所示:
PREPARE bydesc(text) AS SELECT i0."id",i0."description"
FROM "items" AS i0 WHERE (i0."description" LIKE $1);
EXECUTE bydesc('foo');
如果是这样,我认为这会阻止sql注入.但我只是猜测这就是Ecto的作用.
如何查看Ecto正在执行的实际sql?
Ecto仅使用预准备语句.使用ecto查询语法时,无法引入sql注入.查询语法在编译时验证不可能进行sql注入.
> Postgrex(以及Ecto)使用postgresql二进制协议(而不是最常见但效率较低的文本协议),因此PREPARE查询实际上从未作为字符串存在.
>对于大多数情况,你会看到的只是一个初始PREPARE 64237612638712636123(…)AS …后来很多EXECUTE 64237612638712636123(…)没有那么有帮助.试图将彼此联系起来会很可怕.
根据我的经验,大多数此类软件使用prepare语句并记录它们而不是原始查询,因为它更有助于理解系统的行为.
