來自加密表的 Psycopg2 查詢

Question

我遇到了一個問題。 使用psycopg2從表中的加密列中進行選擇。 使用創建測試表后

create table users (
    id BIGSERIAL NOT NULL PRIMARY KEY,
    first_name VARCHAR(100) NOT NULL,
    last_name VARCHAR(100) NOT NULL,
    secret_val_1 BYTEA,
    secret_val_2 BYTEA
);

我能夠將加密的值插入其中。
現在我正在嘗試使用psycopg2從表中查詢值：

cur.execute("""
            SELECT PGP_SYM_DECRYPT(%s::BYTEA, 'compress-algo=1, cipher-algo=aes256')
            FROM users;
            """,
            ('secret_val_1',))

現在這引發了一個錯誤：

ExternalRoutineInvocationException: Wrong key or corrupt data

有趣的是，當像這樣傳遞值時，它可以工作：

def query_users_decrypt(col):
    cur.execute("""
                SELECT PGP_SYM_DECRYPT({}::BYTEA, 'compress-algo=1, cipher- 
                algo=aes256') FROM users;
                """.format(col),
                (col,))

但這對於 sql-injection 攻擊並不安全，對吧？
有誰知道如何正確地做到這一點？ 謝謝！

Answer 1

format()之所以有效，是因為當您傳入secret_val_1時，它最終看起來像：

  SELECT PGP_SYM_DECRYPT(secret_val_1::BYTEA, 'compress-algo=1, cipher-algo=aes256')
  FROM users;

您正在尋找的只是直接查詢：

  select pgp_sym_decrypt(secret_val_1, 'compress-algo=1, cipher-algo=aes256')
    from users;

參數綁定適用於當您想要傳入查詢使用的值時。 secret_val_1不是值，因為它是列的名稱。

對這樣的事情使用參數綁定：

cur.execute("""select pgp_sym_decrypt(secret_val_1, 'compress-algo=1, cipher-algo=aes256' 
                 from users 
                where username = %s""", ('joeuser',))