安全地为多租户数据库创建新模式
[英]Safely create new schemas for multi-tenant database
问题描述
So I'm creating a multi-tenant database, where each tenant will have their own schema. 
所以我正在创建一个多租户数据库,每个租户都有自己的架构。 I'm using Java JDBC & MySQL. 我正在使用Java JDBC和MySQL。 When a new tenant signs up, the name they assign for their group becomes the schema name. 当新租户注册时,他们为其组分配的名称将成为架构名称。
My challenge is how to do this without having SQL injection. 我的挑战是如何在不注入SQL的情况下执行此操作。 Apparently you can't parameterize create schema statements, like this: 显然你无法参数化创建模式语句,如下所示:
create schema ?
If I allow the name in the string to just be placed at the end of that statement, I open a ginormous security hole for SQL injection. 如果我允许将字符串中的名称放在该语句的末尾,我会为SQL注入打开一个巨大的安全漏洞。 So I'm just wondering what the best approach is here. 所以我只是想知道这里最好的方法是什么。
My best guess is to have the schema names not actually be the group names, but create them through an internal process. 我最好的猜测是让模式名称实际上不是组名,而是通过内部进程创建它们。 Something along the lines of (groupId + firstThreeLettersOfName). 类似于(groupId + firstThreeLettersOfName)的东西。 But I'm open to ideas. 但我对创意持开放态度。
Thanks. 谢谢。
1 个解决方案
解决方案1
0 2016-08-21 15:48:28
First, use a cleanup procedure. 首先,使用清理程序。 Strip all chars except for alphanumeric and underscore, and limit the lenght. 剥除除字母数字和下划线之外的所有字符,并限制长度。
Second, wrap the name in backward apostrophes. 其次,将名称包含在后向撇号中。 That should give you the desired result. 这应该会给你想要的结果。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.