Я провел некоторый поиск, но у меня есть конкретный вопрос по SQL-инъекциям, и я надеюсь, что смогу получить некоторую информацию, так как считаю, что, возможно, получаю неправильный конец флешки для очистки данных на местах и т. Д .: -
У меня есть Java-программа, вызывающая хранимую процедуру в iSeries. Хранимая процедура имеет код CL / RPG за кулисами. Хранимая процедура вызывается посредством параметров с данными, поступающими с веб-страницы. Например, вызов будет выглядеть следующим образом: -
call library.prog('field1Value', 'field2Value')
Нужно ли беспокоиться о каких-либо символах, введенных через веб-сайт в 'field1Value' и т. Д., Или, поскольку это вызов хранимой процедуры, не существует ли опасность внедрения SQL-кода? Зависит ли это от того, использует ли программа RPG за кулисами 'field1Value' в своем собственном операторе SQL как часть этой обработки?
Длина полей, передаваемых в процедуру, имеет фиксированную длину, поэтому мы не можем, например, преобразовать «хитрые» символы в их HTML-эквивалент.
Ценю любые (я предполагаю, что это может быть глупый вопрос!) Отзыв (не обязательно специфичный для iSeries) по этому вопросу.