WMB - 是否可以注入 esql 命令?
WMB - Is it possible to inject esql commands?
好吧,标题是不言自明的。
是否有可能以某种方式将命令注入 IBM WMB,或者它是注入安全系统?
只有当您首先编写了一些非常不安全的 ESQL 时才有可能。
如果您有一个使用 EVAL 函数的计算节点,那么 ESQL 可能会被注入,但是注入源仍然在 ESQL 作者的控制之下。
最佳实践建议是完全避免使用此运算符。
与 ESQL 不直接相关的另一件事是使用 PASSTHRU 语句将 SQL 直接传递给数据库。结果 SQL 不使用参数标记等,因此无法验证 PASSTHRU 函数的输入也可能允许在数据库上注入。
最佳做法是避免同时使用 EVAL 和 PASSTHRU 语句。
好吧,标题是不言自明的。 是否有可能以某种方式将命令注入 IBM WMB,或者它是注入安全系统?
只有当您首先编写了一些非常不安全的 ESQL 时才有可能。
如果您有一个使用 EVAL 函数的计算节点,那么 ESQL 可能会被注入,但是注入源仍然在 ESQL 作者的控制之下。
最佳实践建议是完全避免使用此运算符。
与 ESQL 不直接相关的另一件事是使用 PASSTHRU 语句将 SQL 直接传递给数据库。结果 SQL 不使用参数标记等,因此无法验证 PASSTHRU 函数的输入也可能允许在数据库上注入。
最佳做法是避免同时使用 EVAL 和 PASSTHRU 语句。