I database statistici sono vulnerabili agli attacchi di SQL injection? Se sì, quale tipo specifico? Puoi pensare ad un esempio?
Potrei scrivere termini qui, ma tecnicamente no, un database statistico non dovrebbe essere vulnerabile all'iniezione SQL, perché i database statistici tendono a non utilizzare SQL come linguaggio di query. Tendono ad usare varianti del linguaggio come MDX o DMX. Inoltre, alcuni supportano SQL anche se così ...
Tuttavia, dato che accettano input sotto forma di linguaggio, possono certamente essere vulnerabili all'iniezione perché non sono realmente all'altezza del database o del suo server per prevenire l'iniezione. Fino all'applicazione che chiama nel database per proteggere adeguatamente dall'iniezione.
Anche qui ci sono diversi gradi di danno. Nella maggior parte dei casi non è possibile inserire dati o cancellare dati poiché questi database / cubi / modelli tendono ad essere di sola lettura, tuttavia potrebbe essere possibile modificare il set di risultati previsto e ottenere più informazioni del previsto. Mi aspetto che ciò sia possibile in applicazioni di reporting poco sviluppate.
Se per "statistica" intendi "zero input", la risposta è: no.
Ma se questo è un DB SQL che accetta input (vale a dire anche per scopi di filtraggio) di tutte le regole standard si applicano ancora e sono vulnerabili come qualsiasi altro DB SQL.
Leggi altre domande sui tag sql-injection databases