abap関数モジュールSAVE_TEXTについて質問があります。tdobjectカスタムとを作成することが可能であると仮定すると、ロングテキストはテーブルLtdidに格納されます。SAVE_TEXTはインジェクション攻撃に対してどの程度安全ですか? テキストが RAW 形式でエンコードされているため、脆弱ではありませんか?STXH, STXSQL
質問する
1707 次
1 に答える
2
あなたの最初の仮定は、翻訳で失われたか、そもそも間違っていました。 と の有効な値はTDOBJECT、通常、アプリケーション開発者がTDIDtransaction を使用して手動で維持しています。SE75これらは、日常のアプリケーション処理の一部として作成されるわけではありません。
データベース アクセスに関する限り、SQL インジェクションから保護するための 2 つのセキュリティ レベルがありますが、1 つはセキュリティ レベルとして設計されていません。
テキストの内容は、バイト文字列としてシリアル化された内部形式で格納されます。元のテキストに存在していた可能性のある SQL コマンドは、この変換を通過しません。
DML コマンドは、ステートメントの実行時にのみ値が提供される変数の固定セットを備えた準備済みステートメントを使用する通常のデータベース インターフェイス レイヤーを介して渡されます。私が見る限り、動的 SQL ステートメントを使用して
STX*テキストを変更することはありません。
通常のビジネス アプリケーションでは、これで十分安全です。原子力発電所を運営したいのなら、まあ、話さなければなりません。
于 2013-01-22T15:16:20.667 に答える