写在SQL注入后
发表于:2024-10-27 作者:千家信息网编辑
千家信息网最后更新 2024年10月27日,1. 查询语句后只能直接调用函数,不能直接调用存储过程,例如:select function() from dual可以,select procedure() from dual不行;2. 查询语句中
千家信息网最后更新 2024年10月27日写在SQL注入后
1. 查询语句后只能直接调用函数,不能直接调用存储过程,例如:select function() from dual可以,select procedure() from dual不行;
2. 查询语句中无法执行DML或DDL操作,也就是说如果被调用的函数里有insert、update、delete、create之类的写操作,就会报错,除非函数被声明为自治事务,关键字PRAGMA AUTONOMOUS_TRANSACTION;
create or replace function funinject(ftable varchar2, fcol varchar2) return pragma autonomous_transaction;my_sql varchar2(1000);begin my_sql := 'update '|| ftable || ' sets '|| fcol ||'=''hack'''; execute immediate my_sql; commit; return 'inject'end funinject
3. 如果函数中有insert、update、delete、create之类的写操作,则只能注入到insert、update、delete之类的子查询里,例如:insert into table values(1,select function() from dual);
4. Oracle不能注入多语句,除非被注入的SQL动态语句在begin和end之间例如:
create or replace function funinjecting(ftable varchar2, fcol varchar2) return varchar2 is my_sql varchar2(1000);begin my_sql := 'begin update '|| ftable || ' set '||fcol||'=''hack'';end;'; execute immediate my_sql; return 'inject'end funinjecting
unwrap Oracle SQL源码的工具
http://yun.baidu.com/s/1kTgP2SZ
函数
语句
查询
不行
之间
也就是
也就是说
事务
关键
关键字
动态
工具
源码
过程
会报
存储
自治
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
微信小程访问数据库
软件开发去美国
数据库关系表也称为
金华软件开发商
数据库开发考试
网络安全运行与维护课本习题
漳州科技学院网络安全教育
方舟生存进化非官方服务器名字
宁波章鱼软件开发有限公司怎么样
易语言自带数据库设计
方舟手游服务器警告重启维护
扬中工业无线串口服务器
学生拥有手机数据库
华为笔记本能做软件开发吗
华硕电脑网络安全模式怎么进
信捷软件开发招聘
数据库实体关系图属于什么设计
网络技术背景分析
英国大学有多少个数据库
泉州软件开发费用
数据库使用表
怎么在本地访问远程服务器文件
服务器管理与配置实训
战地1进服务器卡住咋办
天津对日软件开发公司
网络安全家长不明白
软件开发保密期限
点我网络技术怎么样
网络安全港股近期走势
数据库安装步骤视频