Oracle数据库SQL语句绑定变量二----安全问题

最新推荐文章于 2023-03-02 16:38:26 发布
最新推荐文章于 2023-03-02 16:38:26 发布
阅读量497 收藏
点赞数
分类专栏: Oracle 文章标签: oracle 绑定变量
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chuan_day/article/details/54944110
版权

如果没有使用绑定变量,就会有“SQL注入”的危险,下面通过一个例子来说明,这个例子摘自THomas的《Oracle编程艺术深入理解数据库体系结构》。

首先创建过程inj:

create or replace procedure inj(p_date in date)
as
l_username all_users.username%TYPE;
c sys_refcursor;
l_query varchar2(4000);
begin
  l_query := '
     select username from all_users where created='''||p_date||'''';


 dbms_output.put_line(l_query);
 open c for l_query ;
 for i in 1 ..5 loop
  fetch c into l_username;
  exit when c%NOTFOUND;
  dbms_output.put_line(l_username||'.....');
   end loop;
   close c;
end;

创建绑定变量的过程inj1,我做了一点修改:

create or replace procedure inj1(p_date in date)
as
l_username all_users.username%TYPE;
c sys_refcursor;
l_query varchar2(4000);
begin
  l_query := '
     select username from all_users where created= :date_';


 dbms_output.put_line(l_query);
 open c for l_query using p_date;
 for i in 1 ..5 loop
  fetch c into l_username;
  exit when c%NOTFOUND;
  dbms_output.put_line(l_username||'.....');
   end loop;
   close c;
end;


创建一个表user_pw,默认为这个表是非常重要的。

create table user_pw(uname varchar2(30) primary key,

                                       pw varchar2(30));

insert into user_pw values(''est','test');

commit;

下面分别执行两个过程,通过结果来区分:



通过两个过程执行结果来看,inj过程打印出了参数sysdtae的值,而绑定变量的过程inj1却没有,那么接下来看SQL注入:

修改session级参数nls_date_format

alter session set nls_date_format='"''union select tname from tab--"';

此时执行inj的话,结果是:


看结果却返回了不应该被暴露的表的信息,这就是SQL注入的危险。

python5915
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
oracle动态sql变量绑定,Oracle绑定变量 2
weixin_39890102的博客
04-05 856
绑定变量(bind variable)我们经常在写plsql中用到,那我们承接上一节的来看看在plsql中静态sql和动态sql在绑定变量的区别declarev_value_avarchar2(100);v_value_bvarchar2(100);v_namevarchar2(50);beginv_value_a:='SMITH';selecte.ename/*+test*/int...
动态SQL与绑定变量
04-24
动态SQL与绑定变量 动态SQL与绑定变量
读《Oracle编程艺术》有感之一有关SQL注入与绑定变量
李大龙
12-06 160
Oracle Database 9i/10g/11g编程艺术 深入数据库体系结构第2版 写道 SQL注入是一个安全漏洞,如果开发人员接受来自最终用户的输入,把这个输入拼接到查询中,然后编译和执行这个查询,就会存在这种安全漏洞。实际上,开发人员可能会接受来自最终用户的SQL代码段,然后编译和执行这些代码段。利用这种方法,最终用户就有可能修改SQL语句,做一些应用开发人员原来不打算做的事情。这就像是...
Oracle SQL使用绑定变量的方法
04-15 593
在网站应用的开发中,一个较流行的方法便是使用 php 编程,php编程方法简单明了,直接在html 中嵌入php 代码,对于开发基于数据库动态应用十分方便。但是,许多开发员在用php开发基于Oracle 数据库的应用时,仍沿习...
oracle 动态sql 绑定变量
tangzililiang的专栏
12-27 1026
--无绑定变量的非SQL查询 DECLARE v_sql varchar2(4000); BEGIN --使用EXECUTE IMMEDIATE执行动态SQL,最后提交事物 v_sql := 'CREATE TABLE account('||' id NUMBER(3) NOT NULL,'|| 'name VARCHAR2(50) NOT NULL,'...
ORACLE数据库SQL语句编写优化总结.rar
01-17
Oracle数据库中,SQL语句的编写和优化是数据库管理员和开发人员的重要技能。这份"ORACLE数据库SQL语句编写优化总结"文档很可能是对如何提高SQL查询性能、减少资源消耗以及提升系统整体效率的详细阐述。以下是根据...
压测OracleSQL语句的性能情况
10-05
本文将深入探讨如何利用压力测试工具来评估和优化Oracle数据库中的SQL语句性能。 标题"压测OracleSQL语句的性能情况"暗示了我们关注的是在高负载情况下,Oracle数据库处理SQL查询的能力。压力测试(Pressure ...
Oracle数据库SQL语句的性能优化.pdf
09-19
这本"Oracle数据库SQL语句的性能优化.pdf"很可能提供了深入的指导,旨在帮助数据库管理员和开发人员理解如何写出高效、优化的SQL查询,以最大化数据库性能。 一、SQL性能优化的重要性 在大数据时代,数据库管理系统...
Oracle数据库SQL语句优化初探.pdf
09-19
Oracle数据库SQL语句优化是提升数据库性能的关键环节。在数据库应用日益广泛的背景下,优化SQL查询对于减轻数据库负担、提高系统运行效率至关重要。SQL查询的优化主要包括理解查询内部原理、掌握Oracle优化器的工作...
ORACLE数据库SQL语句编写优化总结.zip
07-15
本资料“ORACLE数据库SQL语句编写优化总结”深入探讨了如何有效地编写和优化SQL语句,以达到最佳的查询效率。 1. **理解执行计划** - **执行计划**是Oracle解析SQL语句后确定的数据获取策略,了解执行计划可以帮助...
oracle动态sql以及绑定变量
Firefoxboy的空军基地
10-02 2459
        实现动态SQL有两种方式:DBMS_SQL和本地动态SQL(EXECUTE IMMEIDATE) 。 oracle从8代开始就提供了新的执行动态sql的功能:execute immeidate v_sql using *** into ***; 本地动态SQL   EXECUTE IMMEDIATE ‘语句’   [INTO {变量1, 变量2, … 变量N | 记录体}]
oracle 动态声明变量_oracle动态sql以及绑定变量
weixin_36337561的博客
12-29 1149
实现动态SQL有两种方式:DBMS_SQL和本地动态SQL(EXECUTE IMMEIDATE) 。oracle从8代开始就提供了新的执行动态sql的功能:execute immeidate v_sql using *** into ***;本地动态SQLEXECUTE IMMEDIATE ‘语句’[INTO {变量1, 变量2, … 变量N | 记录体}][USING [IN | OUT | I...
oracle 动态传入表名查询,动态SQL的绑定变量_表名作为参数传入
weixin_33469623的博客
04-03 1282
CREATE OR REPLACE PROCEDURE INSERTWCMTEMP2(P_TABLENAME IN CHAR,P_TEMPTNAME IN CHAR) ASV_CURSORID INTEGER;I_CURSORID INTEGER;I_DUMMY INTEGER;V_DOCID NUMBER;V_INSERTSTMT VARCHAR2(200);V_SE...
oracle 绑定变量动态sql
韩王-信
09-01 3567
declare     l_dept     pls_integer := 20;     l_nam      varchar2(20);     l_loc      varchar2(20);  begin     execute immediate 'select dname, loc from dept where deptno = :1'       into l_nam,
oracle数据库sql语句绑定变量,Oracle数据库SQL语句绑定变量----性能问题
weixin_42183486的博客
04-12 643
sql语句编写时,一般都是这样的:select * from emp where empno=7369;或者select * from emp where empno=7499;这两条sql语句对于Oracle来说是两条不同的sql语句,换句话说是执行两条语句时,都会经历:1、语法语义检查;2、硬解析;3、形成执行计划;4、返回相应数据大致的步骤是这样的,其中硬解析是非常消耗资源的,比如cpu,内...
Oracle教程之绑定变量
weixin_33829657的博客
02-26 79
绑定变量是指在sql语句的条件中使用变量而不是常量。比如shared pool里有两条sql语句,select * from tab1 where col1=1;select * from tab1 where col1=2;对oracle数据库来说,这是两条完全不同的SQL,对这两条语句都需要进行hard parse。因为oracle会根据sql语句的文本去计算每个...
Oracle 数据库绑定变量特性及应用
abc123098098的博客
04-30 220
关键词: 绑定变量(binding variable),共享池(shared buffer pool), SGA(system global area); 在开发一个数据库系统前,有谁对Oracle 系统了解很多,尤其是它的特性,好象很少吧;对初学者来讲,这更是不可能的事情;仅仅简单掌握了SQL的写法,就开始了数据库的开发,其结果只能是开发一个没有效率,也没有可扩展的系统; 因此,...
oracle sql调优之绑定变量用法举例
最新发布
力哥讲技术
03-02 3332
的集的势非常大(也就是有个值在字段中出现的比例特别的大)的情况下,使用绑定变量可能会导致查询计划错误,因而会使查询效率非常低。绑定变量只是起到占位的作用,同名的绑定变量并不意味着在它们是同样的,在传递时要考虑的是传递的值与绑定变量出现顺序的对位,而不是绑定变量的名称。绑定变量不能当作嵌入的字符串来使用,只能当作语句中的变量来用。)资源,严重的影响系统的规模的扩大(即限制了系统的并发行), 而且引起的问题不能通过增加内存条和。语句的开发者来说,掌握绑定变量的用法是非常重要的。语句中的常量的替代变量
oracle 设置动态变量,数据库优化技术之Oracle数据库动态绑定变量
weixin_39884877的博客
04-04 360
我们知道,分享池(shared pool)是系统大局区(System Global Area ,SGA)中一个极其重要的分享内存构造。然而Oracle数据库将已解析、已编译的SQL 连同其他内容存储在这里。可是已解析,已编译的SQL要想告终其复用有一个前提,要求开发人员在大多数情形下都会利用绑定变量。本文我们主要就介绍了一些Oracle数据库绑定变量的知识,下面我们就开始介绍。绑定变量(bind ...
Oracle数据库绑定变量:提升SQL性能的关键
绑定变量的使用旨在解决数据库系统在处理大量相似但参数不同的SQL语句时面临的性能瓶颈问题。 首先,我们要理解为什么需要使用绑定变量。在Oracle数据库中,当一个SQL语句被执行时,如果其中包含的是硬编码的值(如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值