问题描述
我想了解更多关于sql注入的信息。为什么很难告诉Oracle某个字符串是参数而不是Sql命令的一部分?例如,一个人可以称自己为删除,而他的名字不能在搜索中使用吗?如果您需要在文本中使用字符 '--',那将是sql命令的问题?
谢谢
谢谢
专家解答
Why is it so hard to tell to the Oracle that a certain string is a parameter and not a part of a Sql command?
不知道你说的 “硬” 是什么意思?你绑定一个变量,你就完成了!
这根本不是一个Oracle问题-它是一个 * 编码 * 问题,即,如果你让人们构建自己的SQL (或者你作为一个开发人员让人们通过你的应用程序来做到这一点),那么你就会被黑客入侵。
看看这个... 这很有趣,很有趣,很有趣,而且很好的概述了SQL注入的风险
不知道你说的 “硬” 是什么意思?你绑定一个变量,你就完成了!
这根本不是一个Oracle问题-它是一个 * 编码 * 问题,即,如果你让人们构建自己的SQL (或者你作为一个开发人员让人们通过你的应用程序来做到这一点),那么你就会被黑客入侵。
看看这个... 这很有趣,很有趣,很有趣,而且很好的概述了SQL注入的风险
文章转载自ASKTOM,如果涉嫌侵权,请发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
