postgresql 오류로 함수를 작성하십시오.

Question

CREATE OR REPLACE FUNCTION increment(key character varying) 
RETURNS character varying AS $$ 
BEGIN 
     SELECT code, name from tbl where $1; 
END; 
$$ LANGUAGE plpgsql; 


select * from increment('code = ''ati'' '); 

=> 통지 오류 "where $ 1";

Answer 1

당신은 무엇을하려고하는 SQL 주입 예에 자두입니다 :

t=# CREATE OR REPLACE FUNCTION increment(key character varying) 
RETURNS character varying AS $$ 
BEGIN 
return format('SELECT code, name from tbl where %s',$1); 
END; 
$$ LANGUAGE plpgsql; 
CREATE FUNCTION 
Time: 1.179 ms 
t=# select * from increment('code = ''ati'' '); 
        increment 
------------------------------------------------ 
SELECT code, name from tbl where code = 'ati' 
(1 row) 

하지만 문이 반환을 제어하지 않는, 이쪽을 봐 :

t=# select * from increment('true; drop table b;'); 
         increment 
------------------------------------------------------ 
SELECT code, name from tbl where true; drop table b; 
(1 row) 

Answer 2

을 함수하지 않는 단순히 당신이 제공 한 변수를 연결하고 결과 SQL을 실행하면 전체 WHERE 절을 이와 같은 매개 변수로 전달할 수 없습니다.

가장 큰 이유는 보안입니다. 함수에 대한 입력이 궁극적으로 신뢰할 수없는 사용자 (예 : 웹 사이트의 입력)에서 발생했을 수 있으며 사용자가 임의로 검색어를 변경할 수 없게하려는 경우가 있습니다. 또한 사용하기가 어색 할 것입니다 : O'Reilly 성을 검색하려면 '이 이스케이프되었는지 여부를 추적하지 않으면 기능이 중단됩니다.

대신 쿼리와 데이터가 별도로 유지됩니다. WHERE $1이 작동하는 유일한 시간은 $1이 부울 인 경우입니다. 마찬가지로, WHERE name=$1은 오직 등 적절한 값 (아마 text 또는 varchar)에 대해 name을 비교합니다

당신은 정말 자주 경우 가끔 발생하는 동적 SQL 쿼리를 위해 필요하지만,하지 않은 경우 말했다 모든 DB를 잘 디자인 했으니 a plpgsql function with an EXECUTE statement을 사용할 수 있습니다.

이

SELECT code, name from tbl where code = $1; 

그런 다음 다른 사용 사례에 대해 변형 함수를 추가 할 수 있습니다, 또는 명시 적있다 :이 경우

, 당신은 아마 명시 적으로 그것을 확인하기 위해 입력 code의 값과 쿼리가되고 싶어요과 같은 부울 플래그는 동적 SQL의 위험과 복잡성이 없어도 다른 쿼리를 선택합니다.