Создайте триггеры базы данных с помощью sql-инъекций без суммированных запросов.

Question

В настоящее время я работаю над исследовательской статьей о sql-инъекциях с RFID-тегами, и мне интересно, можно ли создать триггер базы данных с SQL-инъекциями, если стековые запросы отключены. Если стековые запросы включены, конечно, это легко (при условии, что вы знаете макет таблицы), но что, если они отключены по соображениям безопасности.

Вопрос в том, возможно ли от до создать триггер, с учетом , что происходит SQL-инъекция. База данных не имеет значения, выберите ту, которая соответствует потребностям.

Answer 1

Какую базу данных ищете? В PostgreSQL каждый триггер вызывает хранимую процедуру. Внутри хранимой процедуры вы можете выполнять динамические запросы , если хотите. Если вы ничего не делаете против внедрения SQL, не используя quote_ident () и / или quote_literal (), ваша процедура уязвима для внедрения SQL. Это ваш собственный выбор.

Userinput никогда нельзя доверять, так зачем беспокоиться о вводе RFID? Это вход, поэтому ему нельзя доверять.