安华金与：数据库审计产品常见缺陷之(五)参数审计错误.pdfVIP

数据库审计产品常见缺陷之 （五）—参数审计错误 参数绑定是数据库编程中常用的一种方法，通过这种方法，数据库系统可以 减少编译次数，快速执行，提升效率；但这种编程方法将对数据库的审计带来挑 战，在笔者所见到的若干数据库审计产品中，在这种情况下都出了不少的错误。 有的是漏审了语句，有的是记录下了操作的语句，但将具体执行时所使用的参数 记错了或漏记了。这些缺陷对于审计产品无疑很是致命。 为了详解这种情况，我们来看一下参数绑定的基本概念。我们在常规的图形 化或命令行工具中，往往都是直接写上SQL 语句，比如： Select * from person_info where id=’12XXXXX6722’; 在这里查询条件是身份证号码。根据身份证号码查询个人信息，是一种常用 功能，也是会重复使用的语句，为了提升效率，编程中可以这么写： String sql1=’Select * from person_info where id=?;’ PreparedStatement pStmt = testConn.getConnection().prepareStatement(sql); pStmt.setInt(1, ’12XXXXX6722 ’); pStmt.execute(); 下一次再使用时，就不用再发送语句了，可以直接发送： pStmt.setInt(1, ’22XXXXX5399’); pStmt.execute(); 对于数据库审计系统而言，单纯地记录下来‘Select * from person_info where id=? ’是存在缺陷的，因为你无法明确额操作人员到底访问了哪个用户的信息， 必须明确下来具体的参数才行。 这就要求将设定的参数，与 Prepare 的语句有效的关联，形成可视化的审计 记录展现: © 2015 安华金和 Select * from person_info where id= ’12XXXXX6722’; Select * from person_info where id=’22XXXXX5399’; 这实际上要求审计系统比起单纯的记录语句要完成更多的工作；其中一个重 要任务的就是句柄追踪，本质上 SQL 语句的执行过程追踪就是句柄追踪过程。 在上面显示的例子中，pStmt.execute() ，在通讯过程中并不发送具体的语句，而 仅是告知服务器要执行哪个语句句柄，服务器端会根据内部记录的句柄所对应的 已经编译完成的SQL 语句的执行计划，进行语句执行。数据库审计要完成相应 的工作，需要执行类似的过程，在系统的内部也维护这样的映射关系；同时由于 大多数数据库的句柄，是在会话级的，句柄是可重用的，因此在数据库审计中还 要有效地维护句柄与session 的关联，以及句柄的消亡。 在句柄维护之外，另一个有挑战的工作就是参数的还原。参数的还原，首要 的是要明确参数所对应的句柄；在调用pStmt.setInt(1, ’22XXXXX5399 ’)时，在网 络中发送的包，会标明这个参数是针对哪个句柄的，是针对第几个参数的。作为 数据库审计产品，需要将参数与语句进行映射；更重要地要准确地填回参数所在 的位置，上面这个例子由于只有一个参数，没有什么挑战性。但参数的绑定情况 远比这个复杂，下面我们将提供一些例子来考验相关的数据库审计产品。 用例1：一个基本的示例 String sql = select PID,NAME from PERFORMANCE_C t where pid=:1 and balance:2 and persionid:3 and datefieldTO_DATE(:4,YYYY-MM-DD); PreparedStatement pStmt_2 = testConn.getConnection().prepareStatement(sql); pStmt_2.setInt(1, 84); pStmt_2.setInt(2, 5555); pStmt_2.setString(3, 120);