SQL tablenameインジェクションからの保護 - どのくらい遠すぎますか？

Question

私はPostgreSQLと話す比較的小さなアプリケーションを開発しており、SQLインジェクションからの保護に関して、どれだけ遠すぎるかについてのフィードバックを得たいと考えていました。

アプリケーションはPerlであり、ORMモジュール（DBIのみ）は使用しません。 SQL文は、プレースホルダと、典型的な形に構成されています。

my $sql = "SELECT * FROM $cfg->{tablename} WHERE foo = ?"; 
my $sth = $dbh->prepare($sql); 
$sth->execute('bar'); 

テーブル名が補間された理由は、アプリケーションが列「foo」を持っているすべてが、複数のテーブルに対して同じ操作を実行しなければならないことです。

？プレースホルダは、単純なSQLインジェクション攻撃の大部分を保護します。私の質問はtablenameの周りにあり、プレースホルダを使用することはできません。このテーブルはconfigファイルからのものですが、アプリケーションは--configfileスイッチをサポートして、別の設定ファイルを使用します。

データベースの資格情報は、設定ファイルに保存されます。したがって、攻撃者が$ cfg - > {tablename}が何か悪意のあるものに置き換えられた設定ファイルを作ったり、デフォルトのものを置き換えたりすると、悪意のあるコードが実行される可能性があります。

攻撃者がこれを行うには、有効なデータベース資格情報が必要です。そうしないと、アプリケーションは接続されません。彼らが信任状を持っているならば、DBIを使って独自のコードを作成するか、psql cliを使って悪意のあるものを行うことができます。

私はこれに対して保護するための2つの方法を参照してください。私は$ orm-のために何かをやっていると思います。その場合にはORMに

• スイッチ、> get_class_for_table（$ cfgの - > {テーブル名を}
• SQL文を準備する前にテーブル名をサニタイズするために正規表現を使用し
• 使用$ dbh-> quote_identifier（）

明らかに第二の方法は、「安いと陽気」1である。しかし、文を与えられましたaこれらのアプローチのどちらかが本当に保証されていますか？どのようにそれだけで、実際の攻撃を防ぐ努力とは対照的に、（別の攻撃ベクトルを使用する攻撃者を強制することになると多くの努力が多すぎる

Answer 1

使用quote_identifier：？これらのケースでは

my $sql = "SELECT * FROM ". 
    $dbh->quote_identifier($cfg->{tablename}). 
    " WHERE foo = ?"; 

Answer 2

、I自分のバージョンのプレースホルダーを作成して、テーブル名として挿入する値をチェックして、それが期待しているテーブル名であることを確認します。

私は正規表現を使用して名前をサニタイズしません。それは許可された名前のあなたのリストに入っています、またはそれは間違っていて、あなたはそれらにエラーを与えます。