那些遇到过的问题

如何在 Oracle SQLPlus 中防止 SQL 注入?

Dev*_*ers 1 sql oracle sql-injection sqlplus batch-file

显然,如果我使用 JDBC/ODBC,我可以使用绑定变量和预准备语句来防止 SQL 注入。但是,当数据传递到最终调用 Oracle SQLPlus 的批处理过程时,是否有办法防止 SQL 注入?例如:

查询.sql:

select '&1' from dual;
exit;
Run Code Online (Sandbox Code Playgroud)

如果我这样从 SQLPlus 调用这个脚本:

$ sqlplus SCOTT/TIGER @query.sql "x','y"
Run Code Online (Sandbox Code Playgroud)

我将得到以下输出:

old   1: select '&1' from dual
new   1: select 'x','y' from dual

' '
- -
x y
Run Code Online (Sandbox Code Playgroud)

正如您所看到的,SQLPlus 命令行参数使用简单的宏替换。我缺少替代方法吗?否则,我如何防止它被利用?

Dav*_*dge 5

如果人们可以通过 sql*plus 访问您的数据库,并且您在脚本中拥有特权用户的用户 ID 和密码供他们阅读,那么无论如何您都已经向他们屈服了。SQL 注入是您最不用担心的。

归档时间:

查看次数:

3655 次

最近记录:

13 年,11 月 前
相关归档
SQL中的逗号分隔列表 29
上周一和上周日基于今天的日期 24
从Windows批处理文件调用powershell cmdlet 20
如何组合2位列 11
在PostgreSQL中的数组列中查找字符串 11
从两列中选择SELECT not null列 11
我如何知道 Oracle 诊断包和 Oracle 调优包是否随 Oracle 安装一起安装? 4
SQL - 从Oracle今天开始的两个月 3
如果你已准备好perl脚本(在windows中),从命令行运行它100次的最佳方法是说并收集它产生的数据? 1
如何更改在 SQL Developer for Oracle 12c 中连接的用户? 0
难疑归档
在一行中捕获多个异常(块除外) 2521
什么是三法则? 2067
在Bash中提取文件名和扩展名 1969
如何生成随机字母数字字符串? 1679
家谱软件中的循环 1594
C#中两个问号共同意味着什么? 1540
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
如何在Android应用程序中的活动之间传递数据? 1293
让Chrome接受自签名的localhost证书 1080
获取插入行的标识的最佳方法是什么? 1056