SQL 查询中的散列密码字段是否需要参数化调用/清理/转义字符？

Question

为网站编写登录系统时，标准做法是使用参数化调用的某种组合、清理用户输入和/或转义特殊字符以防止 SQL 注入攻击。

然而，任何好的登录系统都应该在每个密码进入 SQL 查询之前对每个密码进行哈希处理（可能还加盐），因此仍然有必要担心密码中的 SQL 注入攻击吗？难道哈希本身不能完全消除 SQL 注入攻击的可能性吗？

编辑：我也很好奇当前的网站是否确实清理了密码字段，或者通常不担心。

Answer 1

最好始终假设对数据库的任何调用都可以携带查询注入。

就我个人而言，我非常怀疑使用 SHA1 哈希值的调用是否能够注入代码，但是您有什么理由不对其进行清理吗？

处理注射问题时，偏执是最好的方法；）

Answer 2

可能不会。

但是散列密码不是只是数据库调用的另一个参数吗？您的意思是您要对除使用字符串连接的密码之外的所有其他输入混合'n'匹配参数化吗？

Answer 3

取决于您正在执行什么类型的查询。

如果您的查询如下所示，

SELECT username from user_logins WHERE 
  username=? AND password_md5 = md5(?)

那么在 md5 函数中不转义指定的密码将导致 sql 注入漏洞。

一直使用参数化查询，除非有一些令人难以置信的充分理由不能使用（提示：IN (...) 不能很好地配合它们）。

参数化查询比转义更容易正确执行，而且更安全。