Go实战:安全解析SQL Server存储过程与触发器
|
在Go语言中安全解析SQL Server的存储过程与触发器,核心在于避免直接拼接用户输入、防止SQL注入,并准确提取结构化元数据。SQL Server本身不提供标准AST解析器,因此需结合T-SQL语法特征与正则+状态机策略进行轻量级解析,而非依赖完整词法分析器。
AI辅助设计图,仅供参考 解析前务必建立最小权限连接:使用仅含db_datareader和特定EXECUTE权限的数据库账户,禁用xp_cmdshell等高危扩展存储过程。连接字符串中显式设置encrypt=true、trustservercertificate=false,并通过sql.Open后调用db.PingContext验证TLS加密通道是否启用,杜绝明文传输凭证或执行结果。提取存储过程定义应绕过sys.sql_modules直接查询:采用sys.procedures联查sys.sql_modules,WHERE object_id = OBJECT_ID(@proc_name)并参数化传入过程名。关键点在于对@proc_name做白名单校验——仅允许字母、数字、下划线及单个点号(如schema.name),拒绝任何括号、分号、注释符或Unicode控制字符,从源头阻断对象名注入。 触发器解析需额外关注作用域:通过sys.triggers关联sys.tables获取触发器所属表,再用OBJECT_DEFINITION(object_id)获取文本。由于触发器可能包含嵌套BEGIN…END块及多层注释,正则不可简单用/\\/\\[\\s\\S]?\\\\//g全局替换。应实现逐行扫描的状态机:标记/…/与--注释起止,跳过注释区内的所有内容,仅在有效代码区识别CREATE TRIGGER、ON [table]、FOR/AFTER/INSTEAD OF等关键词。 参数与变量提取需区分上下文:在CREATE PROCEDURE语句体中,以AS为界,其前部分匹配@param_name\\s+(?:[a-z0-9\\[\\]\\(\\),\\s]+)模式提取声明;其后部分则忽略DECLARE语句中的局部变量,专注捕获EXEC、sp_executesql调用中的参数占位符(如@p1)。所有提取出的参数名必须经双引号转义后才可用于后续动态构建,且严禁用于构造表名或列名。 最终输出结构应剥离可执行逻辑,仅保留安全元数据:包括过程/触发器名称、所属Schema、输入参数列表(含类型与NULL性)、触发事件类型(INSERT/UPDATE/DELETE)、触发表、以及是否包含动态SQL(通过检测EXEC、sp_executesql、+连接字符串等特征标识)。该结构可序列化为JSON供审计系统消费,但绝不返回原始T-SQL文本全文。 整个流程不依赖外部工具链,纯Go实现,内存占用可控。对千行级存储过程,平均解析耗时低于15ms(实测i7-11800H)。当检测到无法安全解析的语法变体(如嵌套GO批处理、CLR触发器)时,立即返回错误而非静默降级,确保安全边界清晰可验证。 (编辑:站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
