k8凯发游戏审计是目前使用最为广泛的数据库安全技术,也正因此,用户对此项技术提出了更高的要求。影响审计结果准确性的因素有很多,其中对参数化语句的精确审计是其中一个难点。
参数绑定是数据库编程中常用的一种方法,通过这种方法,数据库系统可以减少编译次数,快速执行,提升效率,但在笔者所见到的若干数据库审计产品中,在这种情况下都出了不少的错误。有的是漏审了语句,有的是记录下了操作的语句,但将具体执行时所使用的参数记错或漏记了。
为了详解这种情况,我们来看一下参数绑定的基本概念。我们在常规的图形化或命令行工具中,往往都是直接写上sql语句,比如:
select * from person_info where id=’12xxxxx6722’;
在这里查询条件是身份证号码。根据身份证号码查询个人信息,是一种常用功能,也是会重复使用的语句,为了提升效率,编程中可以这么写:
string sql1=’select * from person_info where id=?;’
preparedstatement pstmt = testconn.getconnection().preparestatement(sql);
pstmt.setint(1, ’12xxxxx6722’);
pstmt.execute();
下一次再使用时,就不用再发送语句了,可以直接发送:
pstmt.setint(1, ’22xxxxx5399’);
pstmt.execute();
对于数据库审计系统而言,单纯地记录下来‘select * from person_info where id=?’是存在缺陷的,因为你无法明确额操作人员到底访问了哪个用户的信息,必须明确下来具体的参数才行。
这就要求将设定的参数,与prepare的语句有效的关联,形成可视化的审计记录展现:
select * from person_info where id=’12xxxxx6722’;
select * from person_info where id=’22xxxxx5399’;
这实际上要求审计系统比起单纯的记录语句要完成更多的工作;其中一个重要任务的就是句柄追踪,本质上sql语句的执行过程追踪就是句柄追踪过程。在上面显示的例子中,pstmt.execute(),在通讯过程中并不发送具体的语句,而仅是告知服务器要执行哪个语句句柄,服务器端会根据内部记录的句柄所对应的已经编译完成的sql语句的执行计划,进行语句执行。数据库审计要完成相应的工作,需要执行类似的过程,在系统的内部也维护这样的映射关系;同时由于大多数数据库的句柄,是在会话级的,句柄是可重用的,因此在数据库审计中还要有效地维护句柄与session的关联,以及句柄的消亡。
在句柄维护之外,另一个有挑战的工作就是参数的还原。参数的还原,首要的是要明确参数所对应的句柄;在调用pstmt.setint(1, ’22xxxxx5399’)时,在网络中发送的包,会标明这个参数是针对哪个句柄的,是针对第几个参数的。作为数据库审计产品,需要将参数与语句进行映射;更重要地要准确地填回参数所在的位置。
上面的例子只是为了说明概念,举了最简单的示例,实际情况中参数的绑定情况远比这个复杂。我么将在后面的文章中展示相对复杂的实际示例,并详细说明k8凯发游戏审计技术对各类参数化语句的解析原理,能够更实际的看到结果的准确度差异。
试用申请