Проблема
Я хочу написать оболочку для некоторых DBI функций, которая позволяет безопасно выполнять параметризованные запросы.Я нашел этот ресурс , который объясняет, как использовать пакет glue для вставки параметров в SQL-запрос.Однако существует два различных способа использования пакета glue для вставки параметров:
- Метод 1 предполагает использование
? в запросе sql, где параметры нужныдля вставки, а затем с помощью dbBind заполните их. Пример по ссылке выше:
library(glue)
library(DBI)
airport_sql <- glue_sql("SELECT * FROM airports WHERE faa = ?")
airport <- dbSendQuery(con, airport_sql)
dbBind(airport, list("GPT"))
dbFetch(airport)
Метод 2 включает использование
glue_sql или
glue_data_sql для самостоятельного заполнения параметров (без использования
dbBind).Снова пример из ссылки выше:
airport_sql <-
glue_sql(
"SELECT * FROM airports WHERE faa IN ({airports*})",
airports = c("GPT", "MSY"),
.con = con
)
airport <- dbSendQuery(con, airport_sql)
dbFetch(airport)
Я бы предпочел использовать второй метод, потому что в нем много дополнительных функций, таких как свертывание нескольких значений для оператора in в where предложение оператора SQL.Посмотрите второй пример выше, как это работает (обратите внимание на * после параметра, который указывает, что он должен быть свернут).Вопрос в том, безопасен ли он от внедрения SQL?(Есть ли другие вещи, о которых мне нужно беспокоиться?)
Мой код
В настоящее время это код, который у меня есть для моей оболочки.
paramQueryWrapper <- function(
sql,
params = NULL,
dsn = standard_dsn,
login = user_login,
pw = user_pw
){
if(missing(sql) || length(sql) != 1 || !is.character(sql)){
stop("Please provide sql as a character vector of length 1.")
}
if(!is.null(params)){
if(!is.list(params)) stop("params must be a (named) list (or NULL).")
if(length(params) < 1) stop("params must be either NULL, or contain at least one element.")
if(is.null(names(params)) || any(names(params) == "")) stop("All elements in params must be named.")
}
con <- DBI::dbConnect(
odbc::odbc(),
dsn = dsn,
UID = login,
PWD = pw
)
on.exit(DBI::dbDisconnect(con), add = TRUE)
# Replace params with corresponding values and execute query
sql <- glue::glue_data_sql(.x = params, sql, .con = con)
query <- DBI::dbSendQuery(conn = con, sql)
on.exit(DBI::dbClearResult(query), add = TRUE, after = FALSE)
return(tibble::as_tibble(DBI::dbFetch(query)))
}
Мой вопрос
Безопасно ли это от внедрения SQL?Тем более что я не использую dbBind.
Эпилог
Я знаю, что уже существует оболочка с именем dbGetQuery, которая допускает параметры (см. thisвопрос для получения дополнительной информации - ищите ответ @krlmlr для примера с параметризованным запросом).Но это опять-таки опирается на первый метод, использующий ?, который является гораздо более базовым с точки зрения функциональности.