PGQM 项目中的 SQL 注入问题分析与修复方案

在 PostgreSQL 消息队列扩展 PGQM 中，开发团队近期发现并修复了一个重要的 SQL 注入问题。这个问题可能允许攻击者通过精心构造的队列名称执行非预期的 SQL 命令，对数据库安全构成潜在风险。

问题原理分析

该问题的核心在于 PGQM 扩展中多个函数直接使用字符串插值（%s）来构建 SQL 查询，而没有对用户提供的队列名称进行适当的处理或验证。具体表现为：

1. 当用户调用如 pgmq.delete() 等函数时，传入的队列名称参数会被直接拼接到 SQL 语句中
2. 攻击者可以通过构造包含 SQL 语句片段的队列名称来插入非预期代码
3. 插入的代码将在数据库服务器上以 PGQM 扩展的权限执行

问题影响范围

此问题影响 PGQM 扩展的多个核心功能，特别是那些涉及队列操作的函数。攻击者利用此问题可以：

• 创建、修改或删除数据库表
• 读取或修改数据
• 执行非预期的数据库操作
• 可能影响数据库完整性

修复方案

开发团队采取了多层次的修复措施：

1. 标识符处理：将字符串插值（%s）替换为标识符引用（%I），确保队列名称被正确转义
2. 名称规范化：引入 format_table_name() 函数统一处理队列名称，强制转换为小写并添加前缀
3. 输入检查：新增对队列名称的字符限制，禁止包含可能用于插入非预期代码的特殊字符
4. 防御性编程：移除不必要的字符串格式化操作，减少潜在的问题点

兼容性考虑

修复过程中，团队特别考虑了向后兼容性问题：

1. 保持队列名称自动转换为小写的现有行为
2. 确保现有队列在升级后仍能正常工作
3. 通过测试验证各种边界情况，包括特殊字符的队列名称

安全建议

对于使用 PGQM 扩展的用户，建议：

1. 立即升级到修复版本（1.4.1 或更高）
2. 审查现有队列名称，避免使用特殊字符
3. 限制数据库用户权限，遵循最小权限原则
4. 定期检查数据库中的扩展和函数

此问题的修复展现了开源社区对安全问题的快速响应能力，也提醒开发者在使用字符串插值构建 SQL 查询时必须谨慎处理用户输入。通过多层防御措施，PGQM 扩展现在提供了更可靠的安全保障。