Добро пожаловать, Гость
Логин: Пароль: Запомнить меня
SQL, PL/SQL, T-SQL: запросы, DML DDL операторы, пакеты, процедуры, функции, триггеры и последовательности.
  • Страница:
  • 1

ТЕМА: Спец символы в VarChar2 - Oracle8

Спец символы в VarChar2 - Oracle8 24 июль 2011 08:09 #2915

  • Myk
  • Myk аватар Автор темы
  • Не в сети
  • Новый участник
  • Новый участник
  • Сообщений: 44
  • Спасибо получено: 0
Привет.
есть вопрос: какие символы в Oracle8 в типе VarChar2 есть специальнныим в SQL.
что и как стоит квотить при написании SQL.
Ну или так:
через cgi-скрипт в базу данных пишетня информация про человека(мило, ФИО, адрес ...).
Большинство полей типа VarChar2.
вот и интересуюсь на что можна напоротся при таком случае.
если строки полученные от пользователя никак не проверять, то можно получить не только кавычку , но и чтото типа доступа к переменным Oracle-а...
что кроме кавычки надо отлавливати в этих строках и на что заменять.

(предупреждаю: я в оракле не спец.) :-)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Re: Спец символы в VarChar2 - Oracle8 24 июль 2011 08:09 #2916

  • Gwen
  • Gwen аватар
  • Не в сети
  • Новый участник
  • Новый участник
  • Сообщений: 49
  • Спасибо получено: 0
Мне кажется, вы раздуваете из мухи слона :)
Приведите пример подобного "хакерства"?
Тут всё зависит от того, как полученные из формы значения обрабатываются. А то, на самом деле, можно там написать drop table ... и, если не хватило того, чего должно было хватить для организации минимальной безопасности, в некоторых случаях может прокатить :)

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Re: Спец символы в VarChar2 - Oracle8 24 июль 2011 08:10 #2917

  • Myk
  • Myk аватар Автор темы
  • Не в сети
  • Новый участник
  • Новый участник
  • Сообщений: 44
  • Спасибо получено: 0
Я хотел скзать, что без проверок у меня могут возникнуть проблемы при регестрации народа.
тоесть тыпа того, что поставив ":" можна сослатся на несуществующую переменную. и тем вызвать проблему регистрации данного человека (которому действительно захотелось поставить в данных про себя пару особенных сиволов.)
иными словами это получится не хакерство а проблема регистрации (регистрация на пройдёт).

если я неправ прошу исправить и указать куда копать.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Re: Спец символы в VarChar2 - Oracle8 24 июль 2011 08:11 #2918

  • Gwen
  • Gwen аватар
  • Не в сети
  • Новый участник
  • Новый участник
  • Сообщений: 49
  • Спасибо получено: 0
Ну, по-хорошему, надо ввод проверять на правильность. Уж не знаю, на чём там твой cgi писан.
А inset into table1 (id, title) values (seq1.nextval,':1 Pupkind') проблемы не вызовет.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Re: Спец символы в VarChar2 - Oracle8 09 авг 2011 19:38 #3049

символы в Oracle8 в типе VarChar2 есть специальнныим в SQL есть такого типа: id, title

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

  • Страница:
  • 1