Вопросы Теги

Представления SQL/базы данных в Grails

Как вы можете видеть, люди предлагают вам максимально использовать подготовленные заявления. Это не так, но когда ваш запрос выполняется всего один раз за процесс, будет небольшое снижение производительности.

Я столкнулся с этой проблемой, но я думаю, что решил ее в очень сложном пути - как хакеры используют, чтобы избежать использования кавычек. Я использовал это в сочетании с эмулированными подготовленными заявлениями. Я использую его, чтобы предотвратить все возможные типы инъекций SQL.

Мой подход:

  • Если вы ожидаете, что ввод будет целым, убедитесь, что он действительно целое число. В языке с переменным типом, таком как PHP, этот очень важен. Вы можете использовать, к примеру, это очень простое, но мощное решение: sprintf("SELECT 1,2,3 FROM table WHERE 4 = %u", $input);
  • Если вы ожидаете чего-то еще от целого шестнадцатеричного значения. Если вы отбросите его, вы полностью избежите ввода. В C / C ++ есть функция, называемая mysql_hex_string() , в PHP вы можете использовать bin2hex() . Не беспокойтесь о том, что экранированная строка будет иметь размер в 2 раза по сравнению с исходной длиной, потому что даже если вы используете mysql_real_escape_string, PHP должен выделять одну и ту же емкость ((2*input_length)+1), что то же самое.
  • hex метод часто используется при передаче двоичных данных, но я не вижу причин, почему бы не использовать его во всех данных для предотвращения атак SQL-инъекций. Обратите внимание, что вам необходимо предварительно добавить данные с помощью 0x или использовать функцию MySQL UNHEX.

Так, например, запрос: 

SELECT password FROM users WHERE name = 'root'

Будет: 

SELECT password FROM users WHERE name = 0x726f6f74

или 

SELECT password FROM users WHERE name = UNHEX('726f6f74')

Hex - идеальный выход.

Разница между функцией UNHEX и префиксом 0x

В комментариях было некоторое обсуждение, поэтому я, наконец, хочу дать понять. Эти два подхода очень похожи, но в некоторых отношениях они немного различаются:

Префикс ** 0x ** может использоваться только для столбцов данных, таких как char, varchar, text, block, binary, и т. д. Кроме того, его использование немного сложно, если вы собираетесь вставить пустую строку. Вам придется полностью заменить его на '', или вы получите сообщение об ошибке.

UNHEX () работает в любом столбце; вам не нужно беспокоиться о пустой строке.

Hex-методы часто используются в качестве атак

Обратите внимание, что этот шестиугольный метод часто используется как атака SQL-инъекции, где целые числа точно так же, как и строки mysql_real_escape_string. Тогда вы можете избежать использования кавычек.

Например, если вы просто делаете что-то вроде этого: 

"SELECT title FROM article WHERE id = " . mysql_real_escape_string($_GET["id"])

атака может очень легко ввести вас . Рассмотрим следующий введенный код, возвращенный из вашего скрипта:

SELECT ... WHERE id = -1 union all select table_name from information_schema.tables

и теперь просто извлеките структуру таблицы:

SELECT ... WHERE id = -1 union all select column_name from information_schema.column где table_name = 0x61727469636c65

И тогда просто выберите нужные данные. Разве это не круто?

Но если кодер инъекционного сайта будет шестнадцатеричным, инъекция не будет возможна, потому что запрос будет выглядеть следующим образом: SELECT ... WHERE id = UNHEX('2d312075...3635')

26
задан Community 23 May 2017 в 10:32
поделиться

3 ответа

Можно использовать простой SQL в Grails, который является в случае доступа к представлению предпочтительным путем (IMO):

, Например, в Вашем контроллере: 

import groovy.sql.Sql

class MyFancySqlController {

    def dataSource // the Spring-Bean "dataSource" is auto-injected

    def list = {
        def db = new Sql(dataSource) // Create a new instance of groovy.sql.Sql with the DB of the Grails app

        def result = db.rows("SELECT foo, bar FROM my_view") // Perform the query

        [ result: result ] // return the results as model
    }

}

и часть представления: 

<g:each in="${result}">
    <tr>
        <td>${it.foo}</td>
        <td>${it.bar}</td>
    </tr>
</g:each>

я надеюсь, что источник очевиден. Документация может быть найдена здесь

34
ответ дан Siegfried Puchbauer 28 November 2019 в 07:27
поделиться

Совершенно возможно отобразить доменный класс на представление, просто рассматривать его как постоянный столик. Я думаю, что Grails распечатает некоторые сообщения журнала о неспособности сделать, вставляет, удаляет, и т.д. но это не бросит ошибок, если Вы на самом деле не попытаетесь сделать что-то другое, чем запрос с доменным классом.

2
ответ дан Ben Williams 28 November 2019 в 07:27
поделиться

Вы можете поместить это в свои сопоставления классов домена: 

static mapping = {
    cache 'read-only'
}

Но я не уверен, помогает ли это Hibernate понять, что это представление ... http: //docs.jboss .org / hibernate / stable / core / reference / en / html_single / # performance-cache-readonly

В любом случае, мы часто используем представления базы данных в качестве классов домена grails в нашем текущем проекте, потому что HQL - это заноза в заднице и для соединения таблиц проще использовать SQL.

Однако вам следует быть осторожным с пакетной обработкой запросов в Hibernate (и со всем этим процессом очистки). Если вы вставляете что-то в таблицу, а затем в той же транзакции выбираете представление, которое зависит от этой таблицы, вы не получите последние вставленные строки. Это связано с тем, что Hibernate еще не вставил строки, тогда как если вы выбрали таблицу, в которую вставили строки,

4
ответ дан 28 November 2019 в 07:27
поделиться
Другие вопросы по тегам:

Похожие вопросы: