Con SQL Server, la e commerciale si pone come una minaccia relativa all'iniezione SQL? Sto lavorando a un progetto che include questo come personaggio nella lista nera. Sono consapevole che esiste una minaccia relativa a Oracle (SQL * Plus) ma non riesco a trovare un problema con la e commerciale. Ho fatto riferimento a più cheat sheet e articoli e non riesco a trovare un riferimento (diverso da Oracle).
Tecnicamente sì, ma non più di ogni altra sintassi T-SQL. Il & viene utilizzato per azioni bit a bit e, se è stata rilevata una vulnerabilità di injection SQL applicabile, un utente malintenzionato potrebbe utilizzarlo per ricercare ulteriori informazioni sulla struttura della query / dati, ma è uno scenario molto specializzato e, a mio parere, un priorità molto bassa. Posso pensare a molte più ragioni per autorizzare una e commerciale di quante ne possa fare nella lista nera.
Per ulteriori informazioni sull'operatore, consultare il link sottostante.
link
Leggi altre domande sui tag sql-injection sql-server