Sql injection WMB-是否可以插入esql命令?
嗯,这个标题是不言自明的。Sql injection WMB-是否可以插入esql命令?,sql-injection,messagebroker,Sql Injection,Messagebroker,嗯,这个标题是不言自明的。 是否有可能以某种方式将命令注入IBM WMB,或者它是注入安全的系统?只有当您首先编写了一些真正不安全的ESQL时,才有可能 如果您有一个使用EVAL函数的计算节点,那么可以注入ESQL,但是注入源仍然在ESQL作者的控制之下 最佳实践建议是完全避免使用此运算符 另一个可能与ESQL没有直接关系的事情是使用PASSTHRU语句将SQL直接传递给数据库。生成的SQL不使用参数标记等,因此未能验证PASSTHRU函数的输入也可能允许在db上进行注入 最佳做法是避免同时使用
是否有可能以某种方式将命令注入IBM WMB,或者它是注入安全的系统?只有当您首先编写了一些真正不安全的ESQL时,才有可能 如果您有一个使用EVAL函数的计算节点,那么可以注入ESQL,但是注入源仍然在ESQL作者的控制之下 最佳实践建议是完全避免使用此运算符 另一个可能与ESQL没有直接关系的事情是使用PASSTHRU语句将SQL直接传递给数据库。生成的SQL不使用参数标记等,因此未能验证PASSTHRU函数的输入也可能允许在db上进行注入
最佳做法是避免同时使用EVAL和PASSTHRU语句。您是否建议使用任何内置函数来清理用户输入,以便在ESQL中使用?