Início / dba / Perguntas / 175220
Accepted
beldaz
Asked: 2017-06-02 15:27:01 +0800 CST

Escrevendo DDL dinâmico à prova de injeção de SQL no Oracle

  • 772

Eu preciso escrever instruções DDL dinâmicas, como CREATE USER ?. Eu sei que posso usar EXECUTE IMMEDIATE para fazer isso, mas até agora não encontrei nenhuma maneira de incorporar parâmetros dinâmicos sem simplesmente concatenar strings, o que me deixa aberto à injeção de SQL.

Vindo do PostgreSQL, estou acostumado a poder citar identificadores ou usar FORMAT para colocar identificadores com segurança em uma string formatada que pode ser executada. Existe algo assim no Oracle (particularmente 12c)? Se não, como alguém executa esse SQL dinâmico com segurança?

dynamic-sql oracle-12c

1 respostas

  1. Best Answer

    DBMS_ASSERT pode ser o que você está procurando:

    ╔═════════════════════════════╦══════════════════════════════════════════════════════════════════════════════════════════════════╗
║         Subprogram          ║                                           Description                                            ║
╠═════════════════════════════╬══════════════════════════════════════════════════════════════════════════════════════════════════╣
║ ENQUOTE_LITERAL Function    ║ Enquotes a string literal                                                                        ║
║ ENQUOTE_NAME Function       ║ Encloses a name in double quotes                                                                 ║
║ NOOP Functions              ║ Returns the value without any checking                                                           ║
║ QUALIFIED_SQL_NAME Function ║ Verifies that the input string is a qualified SQL name                                           ║
║ SCHEMA_NAME Function        ║ Verifies that the input string is an existing schema name                                        ║
║ SIMPLE_SQL_NAME Function    ║ Verifies that the input string is a simple SQL name                                              ║
║ SQL_OBJECT_NAME Function    ║ Verifies that the input parameter string is a qualified SQL identifier of an existing SQL object ║
╚═════════════════════════════╩══════════════════════════════════════════════════════════════════════════════════════════════════╝

    Essa mesma página também contém links para alguns exemplos de como você pode evitar a injeção de SQL.

    • 4

relate perguntas