如何防止Google Big query上的查询注入

Question

我正在写一些谷歌Big-query动态报告实用程序到我们的网站，这将允许用户选择一个参数来替换查询。给定这个查询"template"：

SELECT  name ,
        birthday
FROM    [dataset.users]
WHERE   registration_date = '{{registration_date}}'

我们从用户那里获取{{registration_date}}值，并将其替换到模板中，从而产生一个查询：

SELECT  name ,
        birthday
FROM    [dataset.users]
WHERE   registration_date = '2013-11-11'

假设我正在使用谷歌Big-query客户端API执行查询，并且该API不允许像在传统RDBMS API上那样使用定位参数，那么在这种情况下，我如何防止类似sql-injection的攻击。

Answer 1

在OWASP中勾选“防御选项3:转义所有用户提供的输入”：

https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#Defense_Option_3:_Escaping_All_User_Supplied_Input

更新:参数化查询现在是一种选择

• https://cloud.google.com/bigquery/docs/parameterized-queries

Answer 2

自从在BigQuery中推出标准SQL以来，就可以使用query parameters作为防止SQL注入的一种方法。在查询中，可以使用@后跟名称来指定命名参数，例如

SELECT x, y FROM T WHERE x <= @x_max AND y = @target_y;

然后，您可以通过API的query_parameters属性提供参数值。