Как мне параметризовать имена столбцов в pysqlite, чтобы избежать SQL Injection

Question

Я хочу, чтобы пользователь мог выбрать, какие результаты заказа будут отображаться, например. по возрасту), и я не хочу сортировать их после получения их из базы данных.

Очевидно, что если пользователь может указать ввод, который влияет на команды SQL, его необходимо очистить, и я бы обычно использовал параметризацию, но pysqlite, похоже, игнорирует параметры для чего-либо, кроме значений.

Пример кода ниже показывает, что параметризация не работает для ORDER BY, а также обходным путем с использованием форматирования строк, но это уязвимо для SQL-инъекции.

Рекомендованное решение, позволяющее пользователю вводить данные о влиянии порядка сортировки, не подвергая уязвимости SQLi? Должен ли я использовать форматирование строк и проверять каждый пользовательский ввод вручную?

#!/user/bin/env python3 

import sqlite3 

con = sqlite3.connect(':memory:') 
cur = con.cursor() 
cur.execute('CREATE TABLE test (name, age)') 
cur.execute('INSERT INTO test VALUES (:name, :age)', {'name': 'Aaron', 'age': 75}) 
cur.execute('INSERT INTO test VALUES (:name, :age)', {'name': 'Zebedee', 'age': 5}) 

cur.execute('SELECT * FROM test ORDER BY age ASC') 
results = cur.fetchall() 
print('\nGood, but hard coded:\n', results) 
# Good, but hard coded: 
# [('Zebedee', 5), ('Aaron', 75)] 

cur.execute('SELECT * FROM test ORDER BY :order_by ASC', {'order_by': 'age'}) 
results = cur.fetchall() 
print('\norder_by parameter ignored:\n', results) 
# order_by parameter ignored: 
# [('Aaron', 75), ('Zebedee', 5)] 

cur.execute('SELECT * FROM test ORDER BY {order_by} ASC'.format(order_by='age')) 
results = cur.fetchall() 
print('\nRight order, but vulnerable to SQL injection:\n', results) 
# Right order, but vulnerable to SQL injection: 
# [('Zebedee', 5), ('Aaron', 75)] 

con.close() 

Answer 1

Параметры SQL используются только для значений; все остальное может изменить смысл запроса. (Например, ORDER BY password может оставить подсказки, как мог ORDER BY (SELECT ... FROM OtherTable ...).)

Для того, чтобы имя столбца от клиента действительна, вы можете использовать белый список:

if order_by not in ['name', 'age']: 
    raise ... 
execute('... ORDER BY {}'.format(order_by)) 

Но это все еще плохая идея для интеграции этой строки в запрос, потому что проверка и фактическая таблица могут выйти из синхронизации, или вы можете забыть чек. Лучше возвращать индекс столбца от клиента, так что фактическая строки вы используете всегда самостоятельно, и любые ошибки могут быть легко обнаружены в ходе обычного тестирования:

order_by = ['name', 'age'][order_index] 
execute('... ORDER BY {}'.format(order_by))