ngăn chặn tiêm sql trong oracle "order by" part

Question

Để lấy một số dữ liệu tôi đang tạo một truy vấn sql :)
Tất nhiên có một số phần lọc và đặt hàng.

Để có được kết quả tôi sử dụng "NamedParameterJdbcTemplate" và khi tôi cần thêm thứ gì đó vào phần "ở đâu", tôi sử dụng bản đồ tham số, để tránh tiêm.

Nhưng khác với phần "đặt hàng", vì không có thoát tự động (và đó là một phần của sql). Phần thứ tự này đôi khi được lấp đầy với dữ liệu từ người dùng (trực tiếp), đôi khi đặt một số thông số sắp xếp bổ sung từ mã bên trong. Có một vấn đề: đôi khi trường sắp xếp này không chỉ chứa tên cột, mà còn có câu lệnh sql. Bây giờ mỗi thông số để sắp xếp được thoát bằng tay bằng cách thay thế một số ký tự (như ') thành chuỗi rỗng, nhưng một số thông số chúng tôi đặt cho mã của chúng tôi hơi phức tạp để chuyển quy tắc này.

Cách tốt nhất để ngăn chặn tiêm sql trong phần sắp xếp truy vấn là gì, khi bạn sử dụng mẫu jdbc?

Answer 1

Để giúp bảo vệ chống lại SQL injection ở phía bên cơ sở dữ liệu, có một cái nhìn tại DBMS_ASSERT built-in Oracle gói: http://docs.oracle.com/cd/B28359_01/appdev.111/b28419/d_assert.htm

Bạn có thể tìm ra SIMPLE_SQL_NAME chức năng sẽ giúp bảo vệ chống lại SQL Injection cho khoản ORDER BY của bạn.

Hy vọng điều này sẽ giúp ...

Answer 2

Một cách tôi đã sử dụng dù vì lý do hơi khác là sử dụng Sắp xếp theo 3,2 (cột 3, cột thứ hai)

Vì vậy, nếu bạn có thể tìm ra tên cột nhập vào bởi vị trí người dùng trong cột của đầu ra, indirection nên giết vector tiêm.

Answer 3

Bạn có thể giới hạn lựa chọn thứ tự sắp xếp. Hầu hết các ứng dụng chỉ cho phép người dùng sắp xếp theo một cột được hiển thị, người dùng có thể chọn cột nào để sắp xếp thông qua vị trí cột của nó.

Trong trường hợp này, bạn sẽ chỉ chấp nhận số nguyên từ người dùng (bạn có thể chấp nhận số âm để sắp xếp theo thứ tự giảm dần). Bạn có thể cho phép người dùng sắp xếp theo một số cột bằng cách chấp nhận danh sách các số nguyên.

Số nguyên dễ kiểm tra và điều này sẽ không để lộ tên cột bên dưới cho người dùng.