rat_quickdb 0.5.2

强大的跨数据库ODM库,支持自动索引创建、统一接口和现代异步架构
Documentation 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436

//! 数据库安全验证工具
//!
//! 提供跨数据库类型的字段名、表名等标识符的安全验证,
//! 防止SQL注入和NoSQL注入攻击

use crate::error::{QuickDbError, QuickDbResult};
use crate::types::DatabaseType;

/// 数据库安全验证器
pub struct DatabaseSecurityValidator {
    db_type: DatabaseType,
}

impl DatabaseSecurityValidator {
    /// 创建新的安全验证器
    pub fn new(db_type: DatabaseType) -> Self {
        Self { db_type }
    }

    /// 验证字段名的安全性
    ///
    /// 根据数据库类型确保字段名不包含恶意内容,防止SQL/NoSQL注入攻击
    ///
    /// # 参数
    /// * `field_name` - 字段名
    ///
    /// # 返回值
    /// * `Ok(())` - 字段名安全
    /// * `Err(QuickDbError)` - 字段名包含非法字符
    pub fn validate_field_name(&self, field_name: &str) -> QuickDbResult<()> {
        // 字段名不能为空
        if field_name.is_empty() {
            return Err(QuickDbError::ValidationError {
                field: "field_name".to_string(),
                message: "字段名不能为空".to_string(),
            });
        }

        // 检查字段名长度
        if field_name.len() > 64 {
            return Err(QuickDbError::ValidationError {
                field: field_name.to_string(),
                message: "字段名长度不能超过64个字符".to_string(),
            });
        }

        // 根据数据库类型进行不同的验证
        match self.db_type {
            DatabaseType::PostgreSQL | DatabaseType::MySQL | DatabaseType::SQLite => {
                self.validate_sql_field_name(field_name)
            }
            DatabaseType::MongoDB => self.validate_nosql_field_name(field_name),
        }
    }

    /// 验证表名的安全性
    ///
    /// 验证表名不包含恶意内容
    ///
    /// # 参数
    /// * `table_name` - 表名
    ///
    /// # 返回值
    /// * `Ok(())` - 表名安全
    /// * `Err(QuickDbError)` - 表名包含非法字符
    pub fn validate_table_name(&self, table_name: &str) -> QuickDbResult<()> {
        // 表名不能为空
        if table_name.is_empty() {
            return Err(QuickDbError::ValidationError {
                field: "table_name".to_string(),
                message: "表名不能为空".to_string(),
            });
        }

        // 检查表名长度
        if table_name.len() > 64 {
            return Err(QuickDbError::ValidationError {
                field: table_name.to_string(),
                message: "表名长度不能超过64个字符".to_string(),
            });
        }

        // 根据数据库类型进行不同的验证
        match self.db_type {
            DatabaseType::PostgreSQL | DatabaseType::MySQL | DatabaseType::SQLite => {
                self.validate_sql_table_name(table_name)
            }
            DatabaseType::MongoDB => self.validate_nosql_collection_name(table_name),
        }
    }

    /// 获取安全的字段标识符
    ///
    /// 验证字段名并返回可用于查询的安全字段标识符
    ///
    /// # 参数
    /// * `field_name` - 字段名
    ///
    /// # 返回值
    /// * `Ok(String)` - 安全的字段标识符(已添加适当的引号保护)
    /// * `Err(QuickDbError)` - 字段名验证失败
    pub fn get_safe_field_identifier(&self, field_name: &str) -> QuickDbResult<String> {
        // 验证字段名安全性
        self.validate_field_name(field_name)?;

        // 返回带引号的字段标识符
        match self.db_type {
            DatabaseType::PostgreSQL => Ok(format!("\"{}\"", field_name)),
            DatabaseType::MySQL => Ok(format!("`{}`", field_name)),
            DatabaseType::SQLite => Ok(format!("\"{}\"", field_name)),
            DatabaseType::MongoDB => Ok(field_name.to_string()), // MongoDB不需要引号
        }
    }

    /// 获取安全的表标识符
    ///
    /// 验证表名并返回可用于查询的安全表标识符
    ///
    /// # 参数
    /// * `table_name` - 表名
    ///
    /// # 返回值
    /// * `Ok(String)` - 安全的表标识符(已添加适当的引号保护)
    /// * `Err(QuickDbError)` - 表名验证失败
    pub fn get_safe_table_identifier(&self, table_name: &str) -> QuickDbResult<String> {
        // 验证表名安全性
        self.validate_table_name(table_name)?;

        // 返回带引号的表标识符
        match self.db_type {
            DatabaseType::PostgreSQL => Ok(format!("\"{}\"", table_name)),
            DatabaseType::MySQL => Ok(format!("`{}`", table_name)),
            DatabaseType::SQLite => Ok(format!("\"{}\"", table_name)),
            DatabaseType::MongoDB => Ok(table_name.to_string()), // MongoDB不需要引号
        }
    }

    /// 验证SQL数据库字段名的安全性
    ///
    /// SQL数据库字段名验证规则
    fn validate_sql_field_name(&self, field_name: &str) -> QuickDbResult<()> {
        // 检查第一个字符不能是数字
        if field_name.chars().next().unwrap().is_ascii_digit() {
            return Err(QuickDbError::ValidationError {
                field: field_name.to_string(),
                message: "SQL字段名不能以数字开头".to_string(),
            });
        }

        // 检查字段名只包含安全字符(SQL数据库通常更严格)
        for (i, ch) in field_name.chars().enumerate() {
            if !ch.is_ascii_alphanumeric() && ch != '_' {
                return Err(QuickDbError::ValidationError {
                    field: field_name.to_string(),
                    message: format!("SQL字段名包含非法字符 '{}' 在位置 {}", ch, i),
                });
            }
        }

        // 检查是否为SQL关键字
        let upper_name = field_name.to_uppercase();
        let sql_keywords = [
            "SELECT",
            "FROM",
            "WHERE",
            "INSERT",
            "UPDATE",
            "DELETE",
            "CREATE",
            "DROP",
            "ALTER",
            "TABLE",
            "INDEX",
            "AND",
            "OR",
            "NOT",
            "NULL",
            "IS",
            "IN",
            "EXISTS",
            "BETWEEN",
            "LIKE",
            "REGEXP",
            "UNION",
            "JOIN",
            "INNER",
            "LEFT",
            "RIGHT",
            "OUTER",
            "GROUP",
            "BY",
            "HAVING",
            "ORDER",
            "LIMIT",
            "OFFSET",
            "DISTINCT",
            "COUNT",
            "SUM",
            "AVG",
            "MIN",
            "MAX",
            "AS",
            "ON",
            "PRIMARY",
            "KEY",
            "FOREIGN",
            "REFERENCES",
            "CASE",
            "WHEN",
            "THEN",
            "ELSE",
            "END",
            "IF",
            "COALESCE",
            "CAST",
            "CONVERT",
        ];

        if sql_keywords.contains(&upper_name.as_str()) {
            return Err(QuickDbError::ValidationError {
                field: field_name.to_string(),
                message: format!("字段名不能使用SQL关键字: {}", field_name),
            });
        }

        Ok(())
    }

    /// 验证NoSQL数据库字段名的安全性
    ///
    /// MongoDB等NoSQL数据库字段名验证规则(相对宽松)
    fn validate_nosql_field_name(&self, field_name: &str) -> QuickDbResult<()> {
        // NoSQL数据库通常允许更灵活的字段名,但仍有安全限制

        // 不能以$开头(MongoDB系统字段)
        if field_name.starts_with('$') {
            return Err(QuickDbError::ValidationError {
                field: field_name.to_string(),
                message: "NoSQL字段名不能以$开头".to_string(),
            });
        }

        // 不能包含点号(MongoDB嵌套字段路径分隔符)
        if field_name.contains('.') {
            return Err(QuickDbError::ValidationError {
                field: field_name.to_string(),
                message: "NoSQL字段名不能包含点号".to_string(),
            });
        }

        // 检查MongoDB的特殊字段名
        let mongo_reserved_names = [
            "_id",
            "id",
            "ns",
            "system",
            "op",
            "query",
            "update",
            "fields",
            "new",
            "upsert",
            "multi",
            "writeConcern",
            "collation",
            "arrayFilters",
            "hint",
        ];

        if mongo_reserved_names.contains(&field_name) {
            return Err(QuickDbError::ValidationError {
                field: field_name.to_string(),
                message: format!("字段名不能使用MongoDB保留字: {}", field_name),
            });
        }

        Ok(())
    }

    /// 验证SQL数据库表名的安全性
    fn validate_sql_table_name(&self, table_name: &str) -> QuickDbResult<()> {
        // 检查第一个字符不能是数字
        if table_name.chars().next().unwrap().is_ascii_digit() {
            return Err(QuickDbError::ValidationError {
                field: table_name.to_string(),
                message: "SQL表名不能以数字开头".to_string(),
            });
        }

        // 检查表名只包含安全字符
        for (i, ch) in table_name.chars().enumerate() {
            if !ch.is_ascii_alphanumeric() && ch != '_' {
                return Err(QuickDbError::ValidationError {
                    field: table_name.to_string(),
                    message: format!("SQL表名包含非法字符 '{}' 在位置 {}", ch, i),
                });
            }
        }

        // 检查是否为SQL关键字
        let upper_name = table_name.to_uppercase();
        let sql_keywords = [
            "SELECT",
            "FROM",
            "WHERE",
            "INSERT",
            "UPDATE",
            "DELETE",
            "CREATE",
            "DROP",
            "ALTER",
            "TABLE",
            "INDEX",
            "DATABASE",
            "SCHEMA",
            "USER",
            "ROLE",
            "GRANT",
            "REVOKE",
            "COMMIT",
            "ROLLBACK",
            "TRANSACTION",
            "VIEW",
            "TRIGGER",
            "PROCEDURE",
            "FUNCTION",
            "SEQUENCE",
            "CONSTRAINT",
            "PRIMARY",
            "FOREIGN",
            "REFERENCES",
        ];

        if sql_keywords.contains(&upper_name.as_str()) {
            return Err(QuickDbError::ValidationError {
                field: table_name.to_string(),
                message: format!("表名不能使用SQL关键字: {}", table_name),
            });
        }

        Ok(())
    }

    /// 验证NoSQL数据库集合名的安全性
    fn validate_nosql_collection_name(&self, collection_name: &str) -> QuickDbResult<()> {
        // MongoDB集合名限制

        // 不能以$开头
        if collection_name.starts_with('$') {
            return Err(QuickDbError::ValidationError {
                field: collection_name.to_string(),
                message: "集合名不能以$开头".to_string(),
            });
        }

        // 不能包含空字符串
        if collection_name.contains('\0') {
            return Err(QuickDbError::ValidationError {
                field: collection_name.to_string(),
                message: "集合名不能包含空字符".to_string(),
            });
        }

        // 不能是system集合
        if collection_name.starts_with("system.") {
            return Err(QuickDbError::ValidationError {
                field: collection_name.to_string(),
                message: "集合名不能以system.开头".to_string(),
            });
        }

        Ok(())
    }
}

#[cfg(test)]
mod tests {
    use super::*;

    #[test]
    fn test_sql_field_validation() {
        let validator = DatabaseSecurityValidator::new(DatabaseType::PostgreSQL);

        // 有效字段名
        assert!(validator.validate_field_name("name").is_ok());
        assert!(validator.validate_field_name("user_name").is_ok());
        assert!(validator.validate_field_name("createdAt").is_ok());

        // 无效字段名
        assert!(validator.validate_field_name("").is_err());
        assert!(validator.validate_field_name("123name").is_err());
        assert!(validator.validate_field_name("na-me").is_err());
        assert!(validator.validate_field_name("na me").is_err());
        assert!(validator.validate_field_name("select").is_err());
        assert!(validator.validate_field_name("WHERE").is_err());
    }

    #[test]
    fn test_nosql_field_validation() {
        let validator = DatabaseSecurityValidator::new(DatabaseType::MongoDB);

        // 有效字段名
        assert!(validator.validate_field_name("name").is_ok());
        assert!(validator.validate_field_name("user-name").is_ok()); // NoSQL允许连字符
        assert!(validator.validate_field_name("123name").is_ok()); // NoSQL允许数字开头

        // 无效字段名
        assert!(validator.validate_field_name("").is_err());
        assert!(validator.validate_field_name("$name").is_err());
        assert!(validator.validate_field_name("nested.field").is_err());
        assert!(validator.validate_field_name("_id").is_err());
    }

    #[test]
    fn test_safe_identifier_generation() {
        let pg_validator = DatabaseSecurityValidator::new(DatabaseType::PostgreSQL);
        let mysql_validator = DatabaseSecurityValidator::new(DatabaseType::MySQL);

        assert_eq!(
            pg_validator.get_safe_field_identifier("name").unwrap(),
            "\"name\""
        );
        assert_eq!(
            mysql_validator.get_safe_field_identifier("name").unwrap(),
            "`name`"
        );

        // 测试非法字段名
        assert!(pg_validator.get_safe_field_identifier("select").is_err());
        assert!(
            mysql_validator
                .get_safe_field_identifier("123name")
                .is_err()
        );
    }
}