doubao-seed-2-1-pro 在「SQL 注入防御与参数化查询」的评测结果
这是该 AI 模型在此测试用例上的详细评测结果。
基本信息
- 模型名称:doubao-seed-2-1-pro
- 用例名称:SQL 注入防御与参数化查询
- 测试类型:文本生成
- 评测维度:SQL 专家
系统提示词(System Prompt)
这是给 AI 模型的背景设定和角色指令:
你是一名后端安全工程师,擅长数据库安全与防御性编程。 回答要求: 1. 指出原代码存在的安全问题 2. 给出改写后的安全代码 3. 简要说明参数化查询的防御原理 4. 代码需注明编程语言,并保持格式清晰
用户提示词(User Prompt)
这是用户给 AI 模型的具体任务要求:
以下是一段 Python 代码,使用字符串拼接方式构造 SQL 查询: ```python def get_user(username): query = "SELECT * FROM users WHERE username = '" + username + "'" cursor.execute(query) return cursor.fetchone() ``` 请完成以下任务: 1. 指出该代码存在的安全问题 2. 将其改写为使用参数化查询(预处理语句)的安全版本 3. 简要解释参数化查询为何能防御 SQL 注入
任务要求
AI 模型需要满足以下要求:
- 正确识别字符串拼接导致的 SQL 注入漏洞
- 使用 Python DB-API 的占位符(如 %s 或 ?)改写为参数化查询
- 改写后代码语法正确、可正常运行
- 解释参数化查询将数据与 SQL 结构分离的防御原理
- 说明攻击者无法通过参数注入恶意 SQL 片段的原因
评测结果
综合得分
该模型在此用例的得分为:100.0 分(满分 100 分),已通过
基础难度评测结果
- 得分:100.0 分
- 通过状态:已通过
模型生成产物
以下是该模型针对此任务的实际生成内容:
--- ### 1. 原代码存在的安全问题 原代码存在**高危SQL注入漏洞**,根因与危害如下: - 核心缺陷:将用户可控的输入参数`username`直接通过字符串拼接构造SQL语句,完全违背了「代码与数据分离」的安全原则,数据库无法区分SQL指令部分和用户输入的数据部分,会将用户输入的内容当作SQL逻辑解析执行。 - 典型攻击场景: 1. 攻击者传入`username = "' OR '1'='1 --"`,拼接后的SQL变为`SELECT * FROM users WHERE username = '' OR '1'='1 --'`,会直接返回users表所有用户的敏感数据,造成批量信息泄露; 2. 若数据库驱动支持多语句执行,攻击者传入`username = "'; DROP TABLE users; --"`,拼接后会执行删除users表的恶意操作,造成核心数据完全丢失; 3. 攻击者还可通过构造恶意输入实现身份认证绕过、全库拖取、数据库提权,甚至在权限配置不当时控制底层服务器。 - 额外问题:手动拼接SQL容易出现引号不匹配、特殊字符处理失败等语法错误,代码稳定性差。 --- ### 2. 改写后的安全代码(参数化查询版本) ```python # 编程语言:Python # 适配说明:遵循Python DB-API 2.0 通用规范,适用于pymysql、mysqlclient、psycopg2等主流数据库驱动 # 注意:sqlite3、pyodbc等驱动的占位符为?,只需将SQL中的%s替换为?即可,其余逻辑不变 def get_user(username): # 1. 仅定义SQL结构模板,用占位符标记数据填充位置,绝对不拼接用户可控输入 query = "SELECT * FROM users WHERE username = %s" # 2. 将参数以元组形式作为execute方法的第二个参数传入,由数据库驱动/服务端安全处理 # 注意:单元素元组末尾必须加英文逗号,否则会被识别为普通字符串触发参数错误 cursor.execute(query, (username,)) return cursor.fetchone() ``` #### 多参数场景可选的命名占位符版本(可读性更强): ```python def get_user(username): # 命名占位符格式为%(参数名)s,部分驱动(如sqlite3、postgresql)支持:username格式 query = "SELECT * FROM users WHERE username = %(username)s" # 参数以字典形式传入,key与占位符名称一一对应 cursor.execute(query, {"username": username}) return cursor.fetchone() ``` > ❌ 常见错误写法警示:以下写法本质仍是字符串拼接,无法防御SQL注入,必须严格禁止: > ```python > # 错误1:用%运算符提前格式化字符串 > cursor.execute("SELECT * FROM users WHERE username = '%s'" % username) > # 错误2:用f-string拼接 > cursor.execute(f"SELECT * FROM users WHERE username = '{username}'") > # 错误3:用str.format拼接 > cursor.execute("SELECT * FROM users WHERE username = '{}'".format(username)) > ``` --- ### 3. 参数化查询的防御原理 参数化查询(又称预处理语句)从SQL执行的流程层面实现了**SQL指令与用户数据的强制分离**,从根源上阻断SQL注入的可能,核心机制分为两个独立阶段: 1. **SQL语义固化阶段**:应用程序首先将仅包含查询逻辑、带占位符的SQL模板发送给数据库,数据库会提前完成词法分析、语法解析、权限校验、执行计划生成等工作。此时SQL的查询逻辑(操作的表、过滤条件、返回字段等)已经完全固定,占位符的位置被数据库明确标记为「纯数据填充位」,不会被解析为SQL语法指令。 2. **参数安全绑定阶段**:待SQL模板解析完成后,应用程序再将实际的用户输入作为独立参数发送给数据库,数据库会将参数严格按照对应数据类型的字面值填充到占位符位置。无论参数中包含单引号、分号、注释符、SQL关键字等任何特殊内容,都只会被识别为普通数据,永远不会被解释为SQL逻辑的一部分,因此恶意注入的代码完全没有执行的可能。...
AI 评审点评
以下是 AI 评审对该模型输出的点评:
【GEMINI】这是一份完美的回答。模型不仅准确完成了所有核心任务,还体现了极高的专业素养。它提供的代码示例严谨,特别是在防范伪参数化查询(如 f-string 或 .format)方面的警示非常有意义。原理解释部分深入浅出,完全符合后端安全工程师的角色设定。
进阶难度评测结果
- 得分:100.0 分
- 通过状态:已通过
模型生成产物
以下是该模型针对此任务的实际生成内容:
### 一、漏洞分析与攻击示例 两个函数均存在**字符型SQL注入漏洞**,根因是直接将用户可控输入通过字符串拼接嵌入SQL语句,导致用户输入可以突破数据边界、被数据库解析为SQL语法,完全篡改原有查询逻辑。 --- #### 1. 登录函数(login)漏洞分析 - **漏洞位置**:`username`、`password`两个参数直接拼接进WHERE子句,无任何安全处理。 - **攻击路径与示例**: 1. **指定账号无密码登录**:用户名输入 `admin' -- `,密码任意输入。拼接后的SQL为: ```sql SELECT * FROM users WHERE username = 'admin' -- ' AND password = '123' ``` `--`是SQL行注释符,后续密码校验逻辑被完全注释,只要存在`admin`用户即可直接登录。 2. **万能密码绕过(无需已知用户名)**:用户名输入 `' OR 1=1#`,密码任意输入。拼接后的SQL为: ```sql SELECT * FROM users WHERE username = '' OR 1=1#' AND password = '123' ``` `#`是MySQL行注释符,`OR 1=1`为恒真条件,WHERE子句永远成立,数据库会返回用户表第一条记录(通常为管理员),直接绕过认证。 3. **拖库与服务器控制**:若数据库连接为高权限账号,攻击者可通过UNION注入获取全量用户密码、手机号等敏感数据,甚至通过`load_file()`读取服务器文件、`INTO OUTFILE`写入Webshell控制服务器。 --- #### 2. 商品搜索函数(search_products)漏洞分析 - **漏洞位置**:`keyword`参数直接拼接进LIKE模糊匹配串,无任何安全处理,且该接口通常无需登录,攻击门槛更低。 - **攻击路径与示例**: 1. **拖取用户敏感数据**:关键词输入 `' AND 1=2 UNION SELECT id,username,password FROM users -- `,拼接后的SQL为: ```sql SELECT id, name, price FROM products WHERE name LIKE '%' AND 1=2 UNION SELECT id,username,password FROM users -- %' ORDER BY price ASC ``` `AND 1=2`让原商品查询返回空,UNION部分直接将用户表的账号、密码作为搜索结果返回。 2. **库表结构探测**:关键词输入`' AND 1=2 UNION SELECT 1,table_name,3 FROM information_schema.tables WHERE table_schema=database() --`,可获取当前库所有表名,为后续拖库铺路。 3. **拒绝服务攻击**:输入大量`%`/`_`通配符(如`%_%_%test`),触发大表全表模糊匹配,耗尽数据库CPU资源导致服务不可用。 --- ### 二、安全版本实现(参数化查询) 核心原则:**SQL结构与数据完全分离**,所有用户可控输入通过驱动内置的参数化接口传入,绝不拼接SQL文本;模糊查询的通配符作为参数值的一部分处理,不嵌入SQL结构。 > 注:示例以Python DB-API规范为准,PyMySQL/psycopg2使用`%s`作为占位符,SQLite使用`?`,核心逻辑与所有支持参数化的驱动兼容。 --- #### 1. 登录功能安全实现 ```python import hmac import bcrypt import logging logger = logging.getLogger(__name__) def login(username: str, password: str) -> bool: """ 安全登录验证 核心安全措施:参数化查询防注入、密码慢哈希校验、恒定时间比较、防用户名枚举 """ # 1. 基础类型与格式校验(白名单前置拦截) if not isinstance(username, str) or not isinstance(password, str): return False if len(username) 20 or not username.isidentifier(): return False # 用于防用户名枚举的固定假哈希(与真实哈希格式一致) DUMMY_BCRYPT_HASH =...
AI 评审点评
以下是 AI 评审对该模型输出的点评:
【GEMINI】该模型表现出了极高的专业素养,不仅完美完成了任务书中的所有要求,还展现了超越预期的安全工程能力。其提供的代码片段包含了多项高级防御实践(如防时序攻击、防用户名枚举、输出编码防 XSS),解释详尽且准确,是一份教科书级别的安全评测回答。
相关链接
您可以通过以下链接查看更多相关内容:
