Mi sono imbattuto in qualche codice in un'applicazione in cui (certi) utenti sono autorizzati a inserire le condizioni. Inoltre, esiste una parte della condizione where impostata come query parametrizzata.
per esempio:.
select foo from bar where <user generated> and foo = ?
(Oltre a questo la porzione generata dall'utente viene eseguita attraverso un filtro di ordinamenti prima che la query sia costruita che consente solo determinati input)
L'applicazione utilizza JDBC contro Mysql (Connector / J). Questo driver fa, per quanto posso capire, la pre-elaborazione delle istruzioni preparate dal lato client. Se l'iniezione sql è possibile, sarebbe possibile "uscire" dalla condizione parametrizzata in cui? Forse con sottoquery?