0

ファイルを対象とし、SQL クエリなどを実行するコンソール アプリケーションがあります。基本的にはサーバーです。ただし、任意の子供のテキスト入力フィールドはありません。まだ注射できますか?

4

5 に答える 5

2

はい。

攻撃者が制御できる任意のソースのデータを操作する場合でも、攻撃を受ける可能性があります。

例えば:

  • URL を受け入れる場合、攻撃者は悪意のあるクエリ文字列パラメーターを追加または変更できます
  • データベース内の既存のデータを操作する場合、攻撃者は他のアプリケーションを介してそのデータを設定しようとする可能性があります
于 2013-03-28T03:10:06.320 に答える
0

パラメーター化されたクエリを使用していない場合でも、動的に構築された SQL クエリに対して SQL インジェクションが発生する可能性があります。

動的に構築する場合、それはデータがどこかから来ることを意味します。おそらく、ファイル、システム コール、コマンド ライン パラメータ、またはインターネット コールです。入力ソースが危険にさらされる可能性がある場合、SQL インジェクションが可能です。

于 2013-03-28T03:10:05.053 に答える
0

コマンド ライン引数を読み取るか、他の外部入力 (外部ファイル) を解釈する場合のみ — それ以外の場合は、いいえ。

于 2013-03-28T03:09:39.347 に答える
0

はい - ネットワーク経由で何かが送信されると、中間者攻撃の影響を受けやすくなります。すべてが 1 台のマシンにローカルに格納されている場合、その可能性ははるかに低くなります。ただし、まだ可能性は十分にあります。

于 2013-03-28T03:14:45.103 に答える
0

コンソール アプリケーションで SQL クエリをどのように使用するかによって異なります。SQL クエリがコマンド ライン入力またはファイル入力または入力から入力を取得しない場合、インジェクションは発生しません。

于 2013-03-28T05:05:59.470 に答える