SQLAlchemy 文本函数是否暴露给 SQL 注入？

Question

我正在学习如何使用 SQL Alchemy，我正在尝试重新实现以前定义的 API，但现在使用的是 Python。

REST API 具有以下查询参数：

myService/v1/data?range=time:2015-08-01:2015-08-02

所以我想映射 field:FROM:TO 之类的东西来过滤一系列结果，例如日期范围。

这是我目前正在使用的：

 rangeStatement = range.split(':')
                if(len(rangeStatement)==3):
                    query = query.filter(text('{} BETWEEN "{}" AND "{}"'.format(*rangeStatement)))

因此，这将产生以下 WHERE 条件：

WHERE time BETWEEN "2015-08-01" AND "2015-08-02"

我知道 SQL Alchemy 是一个强大的工具，它允许创建像 Query.filter_by(MyClass.temp) 这样的查询，但我需要 API 请求尽可能开放。

所以，我担心有人会在range 参数中传递类似DROP TABLE 的内容并利用text 函数

Answer 1

如果查询是使用字符串格式构建的，那么sqlalchemy.text 将不会阻止 SQL 注入 - “注入”将已经存在于查询文本中。但是动态构建查询并不难，在这种情况下，通过使用getattr 来获取对列的引用。假设您正在使用带有模型类 Foo 和表 foos 的 ORM 层，您可以这样做

import sqlalchemy as sa
...
col, lower, upper = 'time:2015-08-01:2015-08-02'.split(':')

# Regardless of style, queries implement a fluent interface,
# so they can be built iteratively

# Classic/1.x style
q1 = session.query(Foo)
q1 = q1.filter(getattr(Foo, col).between(lower, upper))
print(q1)

或

# 2.0 style (available in v1.4+)
q2 = sa.select(Foo)
q2 = q2.where(getattr(Foo, col).between(lower, upper))
print(q2)

各自的输出是（参数会在执行时绑定）：

SELECT foos.id AS foos_id, foos.time AS foos_time 
FROM foos 
WHERE foos.time BETWEEN ? AND ?

和

SELECT foos.id, foos.time 
FROM foos 
WHERE foos.time BETWEEN :time_1 AND :time_2

SQLAlchemy 会将值的引用委托给引擎正在使用的连接器包，因此您对注入的保护将与连接器包提供的保护一样好^*。

---

^* 总的来说，我认为正确的引用应该可以很好地防御 SQL 注入，但是我不够专业，无法自信地说它是 100% 有效的。不过，这将比从字符串构建查询更有效。