[英]Psycopg2 query from encrypted table
我遇到了一個問題。 使用psycopg2
從表中的加密列中進行選擇。 使用創建測試表后
create table users (
id BIGSERIAL NOT NULL PRIMARY KEY,
first_name VARCHAR(100) NOT NULL,
last_name VARCHAR(100) NOT NULL,
secret_val_1 BYTEA,
secret_val_2 BYTEA
);
我能夠將加密的值插入其中。
現在我正在嘗試使用psycopg2
從表中查詢值:
cur.execute("""
SELECT PGP_SYM_DECRYPT(%s::BYTEA, 'compress-algo=1, cipher-algo=aes256')
FROM users;
""",
('secret_val_1',))
現在這引發了一個錯誤:
ExternalRoutineInvocationException: Wrong key or corrupt data
有趣的是,當像這樣傳遞值時,它可以工作:
def query_users_decrypt(col):
cur.execute("""
SELECT PGP_SYM_DECRYPT({}::BYTEA, 'compress-algo=1, cipher-
algo=aes256') FROM users;
""".format(col),
(col,))
但這對於 sql-injection 攻擊並不安全,對吧?
有誰知道如何正確地做到這一點? 謝謝!
format()
之所以有效,是因為當您傳入secret_val_1
時,它最終看起來像:
SELECT PGP_SYM_DECRYPT(secret_val_1::BYTEA, 'compress-algo=1, cipher-algo=aes256')
FROM users;
您正在尋找的只是直接查詢:
select pgp_sym_decrypt(secret_val_1, 'compress-algo=1, cipher-algo=aes256')
from users;
參數綁定適用於當您想要傳入查詢使用的值時。 secret_val_1
不是值,因為它是列的名稱。
對這樣的事情使用參數綁定:
cur.execute("""select pgp_sym_decrypt(secret_val_1, 'compress-algo=1, cipher-algo=aes256'
from users
where username = %s""", ('joeuser',))
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.