🔬
OpenResty 最佳实践
  • 序
  • 入门篇
  • Lua 入门
    • Lua 简介
    • Lua 环境搭建
    • Lua 编辑器选择
    • 基础数据类型
    • 表达式
    • 控制结构
      • if/else
      • while
      • repeat
      • for
      • break,return 和 goto
    • Lua 函数
      • 函数的定义
      • 函数的参数
      • 函数返回值
      • 全动态函数调用
    • 模块
    • String 库
    • Table 库
    • 日期时间函数
    • 数学库函数
    • 文件操作
  • Lua 高阶
    • 元表
    • 面向对象编程
    • 局部变量
    • 判断数组大小
    • 非空判断
    • 正则表达式
    • 虚变量
    • 抵制使用 module() 定义模块
    • 调用代码前先定义函数
    • 点号与冒号操作符的区别
    • module 是邪恶的
    • FFI
    • 什么是 JIT
  • Nginx
    • Nginx 新手起步
    • location 匹配规则
    • 静态文件服务
    • 日志
    • 反向代理
    • 负载均衡
    • 陷阱和常见错误
  • OpenResty
    • 环境搭建
      • Windows 平台
      • CentOS 平台
      • Ubuntu 平台
      • Mac OS X 平台
    • Hello World
    • 与其他 location 配合
    • 获取 uri 参数
    • 获取请求 body
    • 输出响应体
    • 日志输出
    • 简单 API Server 框架
    • 使用 Nginx 内置绑定变量
    • 子查询
    • 不同阶段共享变量
    • 防止 SQL 注入
    • 如何发起新 HTTP 请求
    • 如何完成 bit 操作
      • 一,复习二进制补码
      • 二,复习位运算
      • 三,LuaJIT 和 Lua BitOp Api
      • 四,位运算算法实例
      • 五,Lua BitOp 的安装
  • LuaRestyRedisLibrary
    • 访问有授权验证的 Redis
    • select+set_keepalive 组合操作引起的数据读写错误
    • redis 接口的二次封装(简化建连、拆连等细节)
    • redis 接口的二次封装(发布订阅)
    • pipeline 压缩请求数量
    • script 压缩复杂请求
    • 动态生成的 lua-resty-redis 模块方法
  • LuaCjsonLibrary
    • json 解析的异常捕获
    • 稀疏数组
    • 空 table 编码为 array 还是 object
  • PostgresNginxModule
    • 调用方式简介
    • 不支持事务
    • 超时
    • 健康监测
    • SQL 注入
  • LuaNginxModule
    • 执行阶段概念
    • 正确的记录日志
    • 热装载代码
    • 阻塞操作
    • 缓存
    • sleep
    • 定时任务
    • 禁止某些终端访问
    • 请求返回后继续执行
    • 调试
    • 请求中断后的处理
    • 我的 lua 代码需要调优么
    • 变量的共享范围
    • 动态限速
    • shared.dict 非队列性质
    • 正确使用长链接
    • 如何引用第三方 resty 库
    • 典型应用场景
    • 怎样理解 cosocket
    • 如何安全启动唯一实例的 timer
    • 如何正确的解析域名
  • LuaRestyDNSLibrary
    • 使用动态 DNS 来完成 HTTP 请求
  • LuaRestyLock
    • 缓存失效风暴
  • OpenResty 与 SSL
    • HTTPS 时代
    • 动态加载证书和 OCSP stapling
    • TLS session resumption
  • 测试
    • 代码静态分析
    • 单元测试
    • 代码覆盖率
    • API 测试
    • 性能测试
    • 持续集成
    • 灰度发布
      • 分流引擎设计
      • 控制台开发
      • 向运维平台发展
  • Web 服务
    • API 的设计
    • 数据合法性检测
    • 协议无痛升级
    • 代码规范
    • 连接池
    • C10K 编程
    • TIME_WAIT 问题
    • 与 Docker 使用的网络瓶颈
  • 火焰图
    • 什么是火焰图
    • 什么时候使用
    • 如何安装火焰图生成工具
    • 如何定位问题
    • 拓展阅读
    • FAQ
Powered by GitBook
On this page
Edit on GitHub
  1. PostgresNginxModule

SQL 注入

有使用 SQL 语句操作数据库经验的朋友,应该都知道使用 SQL 过程中有一个安全问题叫 SQL 注入。所谓 SQL 注入,就是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令的目的。 为了防止 SQL 注入,在生产环境中使用 OpenResty 的时候就要注意添加防范代码。

延续之前的 ngx_postgres 调用代码的使用,

local sql_normal = [[select id, name from user where name=']] ..
                    ngx.var.arg_name .. [[' and password=']] ..
                    ngx.var.arg_password .. [[' limit 1;]]

local res = ngx.location.capture(
    '/postgres',
    { args = {sql = sql } }
)

local body = json.decode(res.body)

if (table.getn(res) > 0) {
    return res[1];
}

return nil;

假设我们在用户登录使用上述 SQL 语句查询账号和密码是否正确,用户可以通过 GET 方式请求并发送登录信息比如:

# curl http://localhost/login?name=person&password=12345

那么我们上面的代码通过 ngx.var.arg_name 和 ngx.var.arg_password 获取查询参数,并且与 SQL 语句格式进行字符串拼接,最终 sql_normal 会是这个样子的:

local sql_normal = [[select id, name from user where name='person' and password='12345' limit 1;]]

正常情况下,如果 person 账号存在并且 password 是 12345,那么 SQL 执行结果就应该是能返回 id 号的。这个接口如果暴露在攻击者面前,那么攻击者很可能会让参数这样传入:

name="' or ''='"
password="' or ''='"

那么这个 sql_normal 就会变成一个永远都能执行成功的语句了。

local sql_normal = [[select id, name from user where name='' or ''='' and password='' or ''='' limit 1;]]

这就是一个简单的 SQL Inject(注入)的案例,那么问题来了,面对这么凶猛的攻击者,我们有什么办法防止这种 SQL 注入呢?

很简单,我们只要把传入参数的变量做一次字符转义,把不该作为破坏 SQL 查询语句结构的双引号或者单引号等做转义,把 ' 转义成 \',那么变量 name 和 password 的内容还是乖乖的作为查询条件传入,他们再也不能为非作歹了。

那么怎么做到字符转义呢?要知道每个数据库支持的 SQL 语句格式都不太一样啊,尤其是双引号和单引号的应用上。有以下几个选择:

ndk.set_var.set_quote_sql_str()
ndk.set_var.set_quote_pgsql_str()
ngx.quote_sql_str()

对这三个函数,解释如下:

  • 前面两个是 ndk.set_var 跳转调用,其实是 HttpSetMiscModule 这个模块提供的函数,是一个 C 模块实现的函数;

    • set_quote_sql_str() 是用于 MySQL 格式的 SQL 语句字符转义;

    • set_quote_pgsql_str() 是用于 PostgreSQL 格式的 SQL 语句字符转义。

  • ngx.quote_sql_str() 是一个 ngx_lua 模块中实现的函数,也是用于 MySQL 格式的 SQL 语句字符转义。

让我们看看代码怎么写:

local name       = ngx.quote_sql_str(ngx.var.arg_name)
local password   = ngx.quote_sql_str(ngx.var.arg_password)
local sql_normal = [[select id, name from user where name=]] ..
                    name .. [[ and password=]] ..
                    password .. [[ limit 1;]]

local res = ngx.location.capture(
    '/postgres',
    { args = {sql = sql } }
)

local body = json.decode(res.body)

if (table.getn(res) > 0) {
    return res[1];
}

return nil;

注意上述代码有两个变化:

  • 用 ngx.quote_sql_str() 把 ngx.var.arg_name 和 ngx.var.arg_password 包了一层,把返回值拼接起来组成 SQL 语句。

  • 原本在 SQL 语句中添加的单引号去掉了,因为 ngx.quote_sql_str() 的返回值正确的带上引号了。

这样已经可以抵御 SQL 注入的攻击手段了,但开发过程中需要不断地产生新功能新代码,这时候也一定注意不要忽视对 SQL 注入的防护,安全防御代码就像织网一样,只要有一处漏洞,鱼儿可就游走了。

Previous健康监测NextLuaNginxModule

Last updated 2 years ago