ORACLE insert 语句中的sql injection

 

log by kj021320  08.6.22

众所周知 ORACLE 是不支持用符号分割做 多语句操作的。

那么在 insert的时候出现 SQL injection 是否就是鸡肋呢?

前段时间我看 某个论坛出现 access版本的 sqlinjection 出现在 insert的地方后来  来回测试几次  发现根本难以利

用今天进行DBA培训的时候,随手进行了test,居然令我很意外,看下面 sqlplus的记录

SQL> create table inserttable(n varchar2(100));

表已创建。

SQL> insert into inserttable(n) values((select user from dual));

已创建 1 行。

SQL> select * from inserttable;

N                                                                               -------------------- KJ                                                                             

SQL> rollback;

回退已完成。

SQL> insert into inserttable(n) values((select a from test)); insert into inserttable(n) values((select a from test))                                    * 第 1 行出现错误: ORA-01427: 单行子查询返回多个行

SQL> spool off

大有用处啊

 

你可能感兴趣的:(oracle)