带有表列参数的 Django 原始查询（SQL 注入）

Question

我有一个不寻常的场景，但除了我的sql 参数之外，我还需要让用户/API 定义表列名称。我对params 的问题是查询结果：

SELECT device_id, time, 's0' ...

而不是

SELECT device_id, time, s0 ...

还有其他方法可以通过raw 做到这一点，还是我需要自己转义该列？

queryset = Measurement.objects.raw(
            '''
            SELECT device_id, time, %(sensor)s FROM measurements
            WHERE device_id=%(device_id)s AND time >= to_timestamp(%(start)s) AND time <= to_timestamp(%(end)s)
            ORDER BY time ASC;
            ''', {'device_id': device_id, 'sensor': sensor, 'start': start, 'end': end})

Answer 1

与任何潜在的 SQL 注入一样，小心。

但本质上，这是一个相当普遍的问题，但解决方案相当安全。一般来说，问题在于查询参数是处理查询值的“正确方法”，但它们不是为模式元素设计的。

要在查询中动态包含架构元素，通常必须使用字符串连接。这正是我们都被告知不要使用 SQL 查询做的事情。

但好消息是您不必使用实际的用户输入。这是因为，虽然可能的查询值是无限的，但可能的有效模式元素 的超集是相当有限的。因此，您可以根据该超集验证用户的输入。

例如，考虑以下过程：

1. 用户输入一个值作为列名。
2. 代码将该值（原始字符串比较）与已知可能值的列表进行比较。 （此列表可以是硬编码的，也可以从数据库架构中动态获取。）
3. 如果未找到匹配项，则返回错误。
4. 如果找到匹配项，则直接在 SQL 查询中使用匹配的已知值。

因此，作为程序员，您所使用的只是您在代码中放入的字符串。这和自己写 SQL 是一样的。

Answer 2

对于您发布的示例查询，您似乎不需要 raw()。我认为以下查询集非常相似。

measurements = Measurement.objects.filter(
    device_id=device_id, 
    to_timestamp__gte=start,
    to_timestamp__lte,
).order_by('time')

for measurement in measurements:
    print(getattr(measurement, sensor)

如果需要优化避免加载其他字段，可以使用values()或only()。