È possibile utilizzare una e commerciale (&) in SQL injection?

0

Con SQL Server, la e commerciale si pone come una minaccia relativa all'iniezione SQL? Sto lavorando a un progetto che include questo come personaggio nella lista nera. Sono consapevole che esiste una minaccia relativa a Oracle (SQL * Plus) ma non riesco a trovare un problema con la e commerciale. Ho fatto riferimento a più cheat sheet e articoli e non riesco a trovare un riferimento (diverso da Oracle).

    
posta user1447679 06.08.2018 - 19:20
fonte

1 risposta

1

Tecnicamente sì, ma non più di ogni altra sintassi T-SQL. Il & viene utilizzato per azioni bit a bit e, se è stata rilevata una vulnerabilità di injection SQL applicabile, un utente malintenzionato potrebbe utilizzarlo per ricercare ulteriori informazioni sulla struttura della query / dati, ma è uno scenario molto specializzato e, a mio parere, un priorità molto bassa. Posso pensare a molte più ragioni per autorizzare una e commerciale di quante ne possa fare nella lista nera.

Per ulteriori informazioni sull'operatore, consultare il link sottostante.
link

    
risposta data 06.08.2018 - 19:39
fonte

Leggi altre domande sui tag