安华金和：数据库审计产品常见缺陷之(五)参数审计错误.docxVIP

数据库审计产品常见缺陷之（五）—参数审计错误参数绑定是数据库编程中常用的一种方法，通过这种方法，数据库系统可以减少编译次数，快速执行，提升效率；但这种编程方法将对数据库审计产品带来挑战，在笔者所见到的若干数据库审计产品中，在这种情况下都出了不少的错误。有的是漏审了语句，有的是记录下了操作的语句，但将具体执行时所使用的参数记错了或漏记了。这些缺陷对于审计产品无疑很是致命。为了详解这种情况，我们来看一下参数绑定的基本概念。我们在常规的图形化或命令行工具中，往往都是直接写上SQL语句，比如：Select * from person_info where id=’12XXXXX6722’;在这里查询条件是身份证号码。根据身份证号码查询个人信息，是一种常用功能，也是会重复使用的语句，为了提升效率，编程中可以这么写：String sql1=’Select * from person_info where id=?;’PreparedStatement pStmt = testConn.getConnection().prepareStatement(sql);pStmt.setInt(1, ’12XXXXX6722’);pStmt.execute();下一次再使用时，就不用再发送语句了，可以直接发送：pStmt.setInt(1, ’22XXXXX5399’);pStmt.execute();对于数据库审计系统而言，单纯地记录下来‘Select * from person_info where id=?’是存在缺陷的，因为你无法明确额操作人员到底访问了哪个用户的信息，必须明确下来具体的参数才行。这就要求将设定的参数，与Prepare的语句有效的关联，形成可视化的审计记录展现:Select * from person_info where id=’12XXXXX6722’;Select * from person_info where id=’22XXXXX5399’;这实际上要求数据库审计系统比起单纯的记录语句要完成更多的工作；其中一个重要任务的就是句柄追踪，本质上SQL语句的执行过程追踪就是句柄追踪过程。在上面显示的例子中，pStmt.execute()，在通讯过程中并不发送具体的语句，而仅是告知服务器要执行哪个语句句柄，服务器端会根据内部记录的句柄所对应的已经编译完成的SQL语句的执行计划，进行语句执行。数据库审计要完成相应的工作，需要执行类似的过程，在系统的内部也维护这样的映射关系；同时由于大多数数据库的句柄，是在会话级的，句柄是可重用的，因此在数据库审计中还要有效地维护句柄与session的关联，以及句柄的消亡。在句柄维护之外，对于数据库审计产品另一个有挑战的工作就是参数的还原。参数的还原，首要的是要明确参数所对应的句柄；在调用pStmt.setInt(1, ’22XXXXX5399’)时，在网络中发送的包，会标明这个参数是针对哪个句柄的，是针对第几个参数的。作为数据库审计产品，需要将参数与语句进行映射；更重要地要准确地填回参数所在的位置，上面这个例子由于只有一个参数，没有什么挑战性。但参数的绑定情况远比这个复杂，下面我们将提供一些例子来考验相关的数据库审计产品。用例1：一个基本的示例String sql = select PID,NAME from PERFORMANCE_C t where pid=:1 and balance:2 and persionid:3 and datefieldTO_DATE(:4,YYYY-MM-DD);PreparedStatementpStmt_2 = testConn.getConnection().prepareStatement(sql);pStmt_2.setInt(1, 84);pStmt_2.setInt(2, 5555);pStmt_2.setString(3, 120);pStmt_2.setString(4, 1900-1-1);pStmt_2.execute();在这个示例中关键是看数据库审计产品是否能将语句审计为：select PID,NAME from PERFORMANCE_C t where pid=84 and balance5555 and persionid120 and datefieldTO_DATE(1900-1-1,YYYY-MM-DD)用例2：这是一个略有挑战的例子，但这个挑战已经有数据库审计产品无法将参数还原了String sql = select PID,NAME from PERFORMANCE_C t where pid=:pid and balance:balance and personid:personid and datefieldT