如何在 Postgresql 中参数化 ALTER ROLE 语句？

Question

我正在尝试为我的 PSQL 数据库创建一个 PHP 接口，我希望一些在 PSQL 上注册的本地用户能够登录到我的数据库。我会首先为每个用户创建每个用户名，使用通用密码，如“Password123”，然后用户可以稍后更改他/她的密码。

为此，我想到了使用一个简单的 PHP 表单：

<form action="" method="post">
    <table>
    <tr> <td> User: </td> <td> <input type="text" name="user" /> </td> </tr>
    <tr> <td> Old password: </td> <td> <input type="password" name="old" /> </td> </tr>
    <tr> <td> New password: </td> <td> <input type="password" name="new1" /> </td> </tr>
    <tr> <td> Repeat new password: </td> <td> <input type="password" name="new2" /> </td> </tr>
     <tr> <td> <input type="submit" name="submit" value="Change password" /> </td> </tr>
</form>

<?php
    if ($_POST) {
        $user = $_POST["user"];
        $old = $_POST["old"];
        $new1 = $_POST["new1"];
        $new2 = $_POST["new2"];

        $link = pg_connect("dbname=mydb host=localhost user=$user password=$old connect_timeout=1");
        if (!$link) { 
            die("Error connecting to mydb: ".pg_last_error($link)); 
        }

        if ($new1 <> $new2) {
            pg_close($link);
            die("New passwords do not match.");
        }

        $res = @pg_query($link,"ALTER ROLE $user WITH ENCRYPTED PASSWORD '$new1';");
        if ($res) {
            echo "Password successfully changed!<br>";
        } else {
            echo "Failed to change password...<br>";
        }

        pg_close($link);
    }
?>

它确实像我预期的那样工作！

但是我读到有一些 SQL 注入攻击可以在这样的表达式上进行，其中 SQL 查询中有一个简单的变量插值。所以我读到PREPARE 语句是进行此类查询的最安全方法。我希望做类似的事情：

pg_prepare($link,"change_user","ALTER ROLE $1 WITH ENCRYPTED PASSWORD '$2';");

但我得到一个语法错误，即使我尝试在 pgAdminIII 中 PREPARE 这个命令。实际上，Postgres manual 表明 PREPARE 只能准备“任何 SELECT、INSERT、UPDATE、DELETE 或 VALUES 语句”。

然后我尝试使用pg_escape_string()函数：

$user = pg_escape_string($_POST["user"]);
...

这在我使用普通密码时效果很好，如果我尝试设置像''" 这样的密码，之后我将无法更改它。我根据手册试过pg_escape_literalwhich is preferred到pg_escape_string，但是我的PHP是5.3.13版本，这个命令只适用于5.4.4以后。

问题是：在这种情况下，这是防止注入攻击的最佳方法吗？这真的可以防止攻击吗？

另一个问题：如果用户想在他/她的密码中使用撇号，是否有可能没有这个错误？

Answer 1

正如您所发现的，准备好的语句不能用于像ALTER USER 这样的“实用程序语句”，它们超出了这个问题的范围。

必须正确引用用户名和密码，要正确引用有几个问题需要考虑。

用户是一个标识符，密码是一个字符串文字，这就是为什么标识符不是用单引号括起来而密码是。它们不遵循相同的句法规则，不能用相同的函数引用。

php-5.4.4 为标识符提供pg_escape_identifier，但旧版本不提供任何引用标识符。 pg_escape_string 不适合这种情况，如其描述和用户 cmets 中所述。 PostgreSQL 本身提供了quote_ident 函数，但是为了调用它，应该进行单独的查询。基本上这可能是这样的：

$pgr=pg_query_params($dbconn, 'SELECT quote_ident($1)',
                     array(pg_escape_string($_POST["user"])));
// error check on $pgr omitted for brievity
list($quoted_user) = pg_fetch_array($pgr);
$quoted_password = pg_escape_string($_POST["password"]);
$res=pg_query($dbconn, 
              "ALTER USER $quoted_user WITH ENCRYPTED PASSWORD '$quoted_password'");

但是，您可能会质疑让用户选择他们想要的任何密码而不进行过滤是否是个好主意。

在它引起的问题中，立即引发的问题是在您的连接调用中：

$link = pg_connect("dbname=mydb host=localhost user=$user password=$old connect_timeout=1");

这里$old 中的密码没有被引用，如果它包含空格字符，这将失败。这可能是您提到的这个问题的原因：如果我尝试设置像“'”这样的密码，之后我将无法更改它。

为了处理pg_connect 调用中的特殊字符，文档这样说：

每个参数设置的形式为keyword = value。周围空间 等号是可选的。写入空值或值 包含空格，用单引号括起来，例如，keyword = 'a 价值'。值中的单引号和反斜杠必须转义 带有反斜杠，即 \' 和 \.

因此，如果您打算接受任何内容，则应该提供一个进行此转义的函数。

就我个人而言，我会首先在用户提供的密码中禁止这些字符，因为这是不必要的问题来源。由于编码问题，以及非 US-ASCII 字符。

Answer 2

作为说明，我建议为此使用存储过程。如果需要，准备好的语句总是可以调用存储过程。

这里有一些非常简单的示例代码，大部分是从 LedgerSMB 复制的（并稍作修改）：

CREATE OR REPLACE FUNCTION save_user(
    in_username text,
    in_password TEXT
) returns bool
SET datestyle = 'ISO, YMD' -- needed due to legacy code regarding datestyles
AS $$
    DECLARE

        stmt text;
        t_is_role bool;
    BEGIN
        -- WARNING TO PROGRAMMERS:  This function runs as the definer and runs
        -- utility statements via EXECUTE.
        -- PLEASE BE VERY CAREFUL ABOUT SQL-INJECTION INSIDE THIS FUNCTION.

       PERFORM rolname FROM pg_roles WHERE rolname = in_username;
       t_is_role := found;

       IF t_is_role is true and t_is_user is false and in_pls_import is false THEN
          RAISE EXCEPTION 'Duplicate user';
        END IF;

        if t_is_role and in_password is not null then
                execute 'ALTER USER ' || quote_ident( in_username ) ||
                     ' WITH ENCRYPTED PASSWORD ' || quote_literal (in_password)
                     || $e$ valid until $e$ ||
                      quote_literal(now() + '1 day'::interval);
        elsif  t_is_role is false THEN
            -- create an actual user
                execute 'CREATE USER ' || quote_ident( in_username ) ||
                     ' WITH ENCRYPTED PASSWORD ' || quote_literal (in_password)
                     || $e$ valid until $e$ || quote_literal(now() + '1 day'::interval);
       END IF;

       return true;

    END;
$$ language 'plpgsql' SECURITY DEFINER;

请注意，这是一个安全定义函数。通常建议您将此功能设置为由非数据库超级用户的用户拥有。这样的用户将需要 createrole 权限并访问您要在此处管理的任何表。还要注意这个警告。如果您没有适当地转义参数，则可以进行数据库内 SQL 注入。请注意，此功能既可以创建用户也可以更改密码。 LSMB 特有的部分，关于检测用户是否被设置，如果没有设置则处理。