[英]Are following MySql stored procedure vulnarable to sql injection?
閱讀了幾乎所有與此相關的文章,但無法判斷我的程序是否易受攻擊? 任何幫助表示贊賞。
1)呼叫程序為:
$query = ($is_mine?'call dispatch.dis_get_my_assigned_tasks("'.$username.'");'
程序:
CREATE DEFINER=`test`@`localhost` PROCEDURE `dis_get_all_assigned_tasks`()
BEGIN
select distinct at_id, at_issues, at_location, at_room_number, user_fname,
from dispatch.dis_assigned_tasks
left outer join dispatch.dis_users
on user_id = at_user
order by at_location, at_user_pickup_timestamp desc;
END
2)調用過程為:
$query = "call dispatch.dis_get_user_info('".$username."');";
程序:
CREATE DEFINER=`test`@`localhost` PROCEDURE `dis_get_user_info`(IN username VARCHAR(45))
BEGIN
select * from dispatch.dis_users where user_username = username;
END
該過程不容易受到SQL注入的攻擊, 但您的查詢卻很容易受到攻擊。
為了防止(並了解)SQL注入,請參閱我們的參考問題:
對於“幾乎所有與此相關的帖子”,您說您已閱讀,似乎它們沒有很好地涵蓋該主題。 我建議您選擇更好的材料來接受教育。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.