Oracle
 sql >> база данни >  >> RDS >> Oracle

Предотвратяване на SQL инжектиране с динамична SQL ALTER USER заявка

Не трябва да се опитвате да предотвратите SQL инжектиране само на ниво база данни. След като са стигнали до там, те най-вече са ви хванали. Трябва да използвате параметри, да маскирате въвеждането и да премахнете лошите символи, които вече са в слоя по-горе. Инструменти (Frameworks?) като Entity Framework автоматично премахват опасни знаци.

Използване на DBMS_ASSERT.ENQUOTE_NAME се справя много добре тук, но бих препоръчал да направите това и в слоевете по-горе.

Общо правило (което следвате тук):Използвайте установени и доказани механизми за сигурност, не ги преоткривайте!

Освен това изявление като

select * from users where username = 'IAm"WayUp';

е абсолютно законно и не е опасно.

И как се извиква функцията/процедурата в БД? И там си уязвим, нали?




  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. Groovy/Grails не може да зареди oracle.jdbc.driver.OracleDriver

  2. Класът на JDBC драйвер не е намерен:oracle.jdbc.OracleDriver

  3. LISTAGG странно свързване

  4. Клауза USING в oracle 11g

  5. Глобални временни таблици - SQL Server срещу Oracle