ORACLE insert 语句中的sql injection

最新推荐文章于 2023-02-26 18:46:57 发布
最新推荐文章于 2023-02-26 18:46:57 发布
阅读量2.7k 收藏
点赞数
分类专栏: ORACLE 文章标签: insert sql oracle access table 测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kj021320/article/details/2575782
版权

 

log by kj021320  08.6.22

众所周知 ORACLE 是不支持用符号分割做 多语句操作的。

那么在 insert的时候出现 SQL injection 是否就是鸡肋呢?

前段时间我看 某个论坛出现 access版本的 sqlinjection 出现在 insert的地方后来  来回测试几次  发现根本难以利

用今天进行DBA培训的时候,随手进行了test,居然令我很意外,看下面 sqlplus的记录

SQL> create table inserttable(n varchar2(100));

表已创建。

SQL> insert into inserttable(n) values((select user from dual));

已创建 1 行。

SQL> select * from inserttable;

N                                                                               -------------------- KJ                                                                             

SQL> rollback;

回退已完成。

SQL> insert into inserttable(n) values((select a from test)); insert into inserttable(n) values((select a from test))                                    * 第 1 行出现错误: ORA-01427: 单行子查询返回多个行

SQL> spool off

大有用处啊

 

kj021320
关注
专栏目录
ORACLE LATERAL-SQL-INJECTION 个人见解
12-16
如果直接执行SQL语句或者参数绑定则不用担心太多, 如以下ORACLE存储过程 create or replace procedure kjdatepoc(date d) as begin insert into kjdatetable values(d); commit; end; 根本不需要担心遭受到...
SQL报错:java.sql.SQLException: sql injection violation, dbType mysql
热门推荐
SSHLY3的博客
11-16 4万+
1. 报错信息 提示如下: Caused by: java.sql.SQLException: sql injection violation, syntax error: error pos 18, line 1, column 12, token EXCEPT : insert into 1 2. 问题分析 之前遇到过类似的错误,提示也是sql injection violation,字面理解就是sql注入错误,也就是说sql不对。 经常性是因为一些列名被怀疑是sql注入被拒绝,但是此次搞了...
Oracle Caused by: java.sql.SQLException: sql injection violation, syntax error: syntax error, expect
gb4215287的博客
02-17 8808
参考:https://blog.csdn.net/qq_36326332/article/details/102938147 https://blog.csdn.net/fly_captain/article/details/82144789 一、mybatis的sql信息 select model.WIRE_MODEL from IDS_WIRE_MODEL model left join IDS_SIGNAL_TYPE type on model.SIGNA...
Oracle 在批量插入时报nested exception is java.sql.SQLException: sql injection violation
housen516210的博客
04-10 1251
Oracle 使用 druid 时,由于版本过低(1.0.16)报 nested exception is java.sql.SQLException: sql injection violation, class com.alibaba.druid.sql.dialect.oracle.ast.stmt.OracleBlockStatement not allow 批量插入数据: <insert id="11111" parameterType="java.util.ArrayList">
【问题】druid报异常sql injection violation, part alway true condition not allow 解决方案
我是Superman丶的博客
07-02 3478
【问题】druid报异常sql injection violation, part alway true condition not allow
java.sql.SQLException: sql injection violation 错误记录
VidaCanawe的博客
12-05 1234
mybatis sql 错误记录 网上有很多这个错的解释但我这个就是有点离谱! 1.找问题 ①sql语句本身在数据库试一遍,再在xml试一遍,检查sql有无写错,少没少连接符,多没多杀符号 ②简化sql ③查看时否配置不全 2.确定问题 我是sql除了问题,我们是mybatis+sprinboot+orcale,添加语句报错, 我写的sql用了insert 和with as 和 select连用,sql语句在数据库好使,但xml报错,问题所在是with as 是生成一个临时的视图,select 又查了一
sql injection cheat sheet
07-04
SQL注入(SQL Injection)是Web应用程序安全领域最常见的漏洞之一,它允许攻击者通过恶意输入在数据库查询插入或拼接额外的SQL语句,从而操纵数据库执行非预期的操作。本文将基于提供的SQL注入技巧表,深入探讨...
SQL_Injection_Payload:SQL注入有效负载列表
01-28
标题“SQL_Injection_Payload:SQL注入有效负载列表”表明这是一个关于SQL注入攻击使用的特定字符串或命令集合,通常被称为有效负载。 SQL注入的有效负载是精心构造的SQL语句,旨在欺骗数据库服务器执行非授权...
你知道吗SQLSQL注入攻击.pdf
09-19
SQL语言不仅包含数据查询的SELECT语句,还包括数据插入INSERT、数据更新***E、数据删除DELETE等操作语句,以及控制数据访问权限的GRANT、REVOKE语句,控制事务的BEGIN、COMMIT、ROLLBACK语句等。 然而,文章也提醒...
spring+oracle
05-26
在"SpringTest01"这个项目,你可能找到了相关的配置文件、Java类和SQL脚本,它们一起构成了一个简单的示例,帮助初学者了解如何在实际项目实现Spring与Oracle数据库的连接和交互。通过研究这个项目,你可以更好...
sql injection violation, dbType mysql, druid-version 1.2.5, multi-statement not allow : UPDAT
好俗好麻烦的博客
03-25 1万+
报错信息 Caused by: java.sql.SQLException: sql injection violation, multi-statement not allow : UPDATE xxx表名 错误原因分析 违反sql注入:批量的操作不被允许 Druid的防火墙配置(Wall)变量multiStatementAllow默认为false,导致被拦截 解决方式 方法一:修改连接字符串并且新增配置类 ① // 增加 allowMultiQueries=true // 例 spring:
druid sql黑名单 报异常 sql injection violation, part alway true condition not allow
weixin_33859665的博客
10-26 735
最近使用druid,发现阿里这个连接池 真的很好用,可以监控到连接池活跃连接数 开辟到多少个连接数 关闭了多少个,对于我在项目查看错误 问题,很有帮助, 但是最近发现里面 有条sql语句 被拦截了,在sql黑名单里,程序抛出异常 sql injection violation, part alway true condition not allow sql 语句大概如下 HIbernate...
druid检查sql注入时报 sql injection violation, syntax error:expect RPAREN, actual IDENTIFIER token INTEGER
qq_34412985的博客
09-10 4069
Caused by: java.sql.SQLException: sql injection violation, syntax error: syntax error, expect RPAREN, actual IDENTIFIER pos 429, line 20, column 79, token IDENTIFIER INTEGER : SELECT A .SYS_CODE, ifnull(SUM(tnm...
sql injection violation, syntax error, expect DIMENSION oracle 数据库时报错
06-16 987
oracle 数据库时报错 : java.sql.SQLException: sql injection violation, syntax error, expect DIMENSION, actual COMMA : select a.material_type num,d.text material_type, c.equipment_model model ,c.serial_number from mv_spm_spt_material_info a, t_ept_config b, t_
flyway报错: sql injection violation, dbType mysql, druid-version xxx, syntax error: illegal name...
最新发布
weixin_45671892的博客
02-26 4305
解决driud在使用dynamic配置多数据源下报SQL注入错误:sql injection violation, dbType mysql, , druid-version 1.2.5, syntax error: illegal name...
java触发器如何创建表_Java 创建Oracle触发器的问题。
weixin_32758097的博客
02-24 166
问题是这样的,现在需要做一个流程表单管理,新建表单的时候创建这个表单的数据表。那创建触发器的时候。我拼接sql语句的代码是这么写的StringBuffersql=newStringBuffer();StringTRGName="TRG_"+formKey;//触发器名sql.append("CREATEORREPLACETRIGGER"+TRGName+"");sql.a...
Oracle DML语句(insert,update,delete) 回滚开销估算
wangpengfei360
09-18 205
Oracle DML语句(insert,update,delete) 回滚开销估算 一、Oracle DML SQL回滚逻辑简介 数据库事务由1个或多个DML(insert,update,delete) SQL组成,我们知道Oracle数据库在进行DML操作需要使用UNDO表空间来保存事务回滚的信息,对于每种DML操作回滚的UNDO信息都不一样,大致如下:insert操作很简单,只要保存记录插...
Oracle commit之后如何回退--亲测有效
guoshunwgs
07-17 690
记住大概的时候,获取前一分钟的数据就OK。 insert into t1 select * from t1 as of timestamp to_timestamp(‘2009-03-17 11:06:00’,‘yyyy-mm-dd hh24:mi:ss’) ; 参考:https://blog.csdn.net/zl834205311/article/details/86605494 https:...
Oracle INSERT语句详解:SQL基础操作入门
在这个文档,主要讲解了如何使用INSERT语句Oracle插入新行到表格,这是数据管理的基础操作之一。INSERT语句的基本语法结构包括以下几个关键部分: 1. **INSERT语句结构**: - `INSERT INTO table [(column...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值