psycopg2从加密表查询

k4aesqcs 于 2021-07-26 发布在 Java

关注(0)|答案(1)|浏览(396)

我遇到了一个问题。使用从表中选择加密列 psycopg2 . 在使用

create table users (
    id BIGSERIAL NOT NULL PRIMARY KEY,
    first_name VARCHAR(100) NOT NULL,
    last_name VARCHAR(100) NOT NULL,
    secret_val_1 BYTEA,
    secret_val_2 BYTEA
);

我可以在里面插入加密值。
现在我尝试使用 psycopg2 使用：

cur.execute("""
            SELECT PGP_SYM_DECRYPT(%s::BYTEA, 'compress-algo=1, cipher-algo=aes256')
            FROM users;
            """,
            ('secret_val_1',))

现在出现了一个错误：

ExternalRoutineInvocationException: Wrong key or corrupt data

有趣的是，当这样传递值时，它是有效的：

def query_users_decrypt(col):
    cur.execute("""
                SELECT PGP_SYM_DECRYPT({}::BYTEA, 'compress-algo=1, cipher- 
                algo=aes256') FROM users;
                """.format(col),
                (col,))

但是这对于sql注入攻击是不安全的，对吗？
有人知道怎么做吗？谢谢！

sql postgresql python psycopg2 pgcrypto

来源：https://stackoverflow.com/questions/62943040/psycopg2-query-from-encrypted-table

1条答案

按热度按时间

mctunoxg1#

这个 format() 因为当你通过考试 secret_val_1 在中，它最终看起来像：

SELECT PGP_SYM_DECRYPT(secret_val_1::BYTEA, 'compress-algo=1, cipher-algo=aes256')
  FROM users;

你要找的只是一个简单的问题：

select pgp_sym_decrypt(secret_val_1, 'compress-algo=1, cipher-algo=aes256')
    from users;

参数绑定适用于您希望传入查询所使用的值的情况。这个 secret_val_1 不是值，因为它是列的名称。
将参数绑定用于以下内容：

cur.execute("""select pgp_sym_decrypt(secret_val_1, 'compress-algo=1, cipher-algo=aes256' 
                 from users 
                where username = %s""", ('joeuser',))

赞(0）回复(0）举报 2021-07-26

我来回答

psycopg2从加密表查询

1条答案

相关问题

热门标签

最新问答