Zagniezdzanie zapytan w SELECT - PL/SQL

janiu

2016-04-04T12:20:41+02:00

Rejestracja: dni
Ostatnio: dni
Postów: 178

Witam,
mam takie pytanie czy da się w jakis sposób zagniezdzic w SELECT zapytania UPDATE, DROP lub ALTER ?
Chodzi mi o sprawy bezpieczeństwa.

mariano901229

2016-04-04T12:24:00+02:00

Rejestracja: dni
Ostatnio: dni
Postów: 597

Chodzi Ci o atak SQL Injection ? Tak da się umieścić w zapytaniu Select dodatkowe zapytanie, które wykonuje operacje ddl na tabeli. Do ochrony przed sql injection wykorzystuje się parametry zapytania po stronie aplikacji klienckiej.

woolfik

2016-04-05T10:06:42+02:00

Rejestracja: dni
Ostatnio: dni
Postów: 1611

@janiu jeśli select jest realizowany przez EXECUTE IMMEDIATE itp. to oczywiście, że się da natomiast wykonując samo zapytanie np

Kopiuj

select jakas_funkcja(pole) from tabela

z tego co pamiętam jesli w jakas_funkcja jest operacja na tabeli (UPDATE/INSERT/DELETE) to oracle wyrzuci wyjątek informujący o próbie aktualizacji danych z poziomu zapytania.

Liczba odpowiedzi na stronę

Zarejestruj się i dołącz do największej społeczności programistów w Polsce.

Otrzymaj wsparcie, dziel się wiedzą i rozwijaj swoje umiejętności z najlepszymi.

Utwórz konto