0
Ну, название вполне понятно. Возможно ли каким-либо образом вводить команды в IBM WMB, или это система с инъекцией?WMB - Можно ли вводить команды esql?
A
ответ
2
Это возможно только в том случае, если вы написали действительно небезопасный ESQL.
Если у вас есть вычислительный узел, который использует функцию EVAL, тогда может быть введен ESQL, однако источник инъекции все еще находится под контролем автора ESQL.
Рекомендации по лучшей практике - избегать использования этого оператора в целом.
Другое, что возможно, что напрямую не связано с ESQL, заключается в использовании инструкции PASSTHRU для передачи SQL непосредственно в базу данных. В результате SQL не использует маркеры параметров и т. Д., Поэтому не удалось проверить вход в функцию PASSTHRU, также может позволить впрыск на db.
Лучшая практика заключается в том, чтобы избежать использования как показателей EVAL, так и PASSTHRU.
Существуют ли какие-либо встроенные функции, которые вы рекомендуете для дезинфекции ввода пользователя для использования в ESQL? –