尊龙凯时官方旗舰店审计是目前使用最为广泛的数据库安全技术,也正因此,用户对此项技术提出了更高的要求。影响审计结果准确性的因素有很多,其中对参数化语句的精确审计是其中一个难点。
参数绑定是数据库编程中常用的一种方法,通过这种方法,数据库系统可以减少编译次数,快速执行,提升效率,但在笔者所见到的若干数据库审计产品中,在这种情况下都出了不少的错误。有的是漏审了语句,有的是记录下了操作的语句,但将具体执行时所使用的参数记错或漏记了。
为了详解这种情况,我们来看一下参数绑定的基本概念。我们在常规的图形化或命令行工具中,往往都是直接写上sql语句,比如:
select * from person_info where id=’12xxxxx6722’;
在这里查询条件是身份证号码。根据身份证号码查询个人信息,是一种常用功能,也是会重复使用的语句,为了提升效率,编程中可以这么写:
string sql1=’select * from person_info where id=?;’
preparedstatement pstmt = testconn.getconnection().preparestatement(sql);
pstmt.setint(1, ’12xxxxx6722’);
pstmt.execute();
下一次再使用时,就不用再发送语句了,可以直接发送:
pstmt.setint(1, ’22xxxxx5399’);
pstmt.execute();
对于数据库审计系统而言,单纯地记录下来‘select * from person_info where id=?’是存在缺陷的,因为你无法明确额操作人员到底访问了哪个用户的信息,必须明确下来具体的参数才行。
这就要求将设定的参数,与prepare的语句有效的关联,形成可视化的审计记录展现:
select * from person_info where id=’12xxxxx6722’;
select * from person_info where id=’22xxxxx5399’;
这实际上要求审计系统比起单纯的记录语句要完成更多的工作;其中一个重要任务的就是句柄追踪,本质上sql语句的执行过程追踪就是句柄追踪过程。在上面显示的例子中,pstmt.execute(),在通讯过程中并不发送具体的语句,而仅是告知服务器要执行哪个语句句柄,服务器端会根据内部记录的句柄所对应的已经编译完成的sql语句的执行计划,进行语句执行。数据库审计要完成相应的工作,需要执行类似的过程,在系统的内部也维护这样的映射关系;同时由于大多数数据库的句柄,是在会话级的,句柄是可重用的,因此在数据库审计中还要有效地维护句柄与session的关联,以及句柄的消亡。
在句柄维护之外,另一个有挑战的工作就是参数的还原。参数的还原,首要的是要明确参数所对应的句柄;在调用pstmt.setint(1, ’22xxxxx5399’)时,在网络中发送的包,会标明这个参数是针对哪个句柄的,是针对第几个参数的。作为数据库审计产品,需要将参数与语句进行映射;更重要地要准确地填回参数所在的位置。
上面的例子只是为了说明概念,举了最简单的示例,实际情况中参数的绑定情况远比这个复杂。我么将在后面的文章中展示相对复杂的实际示例,并详细说明尊龙凯时官方旗舰店审计技术对各类参数化语句的解析原理,能够更实际的看到结果的准确度差异。
试用申请