我们正在使用 JTOpen 连接到我们的 AS/400 机器,我正在尝试解决使用这种类型的集成时存在 SQL 注入(inject)漏洞的风险。
请注意,我们仅使用 API 的调用程序部分 - 而不是 jdbc 连接。
我不是 RPG 程序员,不了解将 SQL 注入(inject)代码的风险,也不知道 JTOpen API 是否能阻止此类攻击。
我在谷歌上搜索了一下后发现,当 RPGLE 程序不使用存储过程时,可以对它们进行 SQL 注入(inject)。 所以我的问题是:这是否也可以通过 JTOpen api 来完成。
我们是否需要在对 JTOpen API 的所有调用中以编程方式检查 SQL 注入(inject)?
最佳答案
如果您不使用 JDBC,则需要检查 SQL 注入(inject)的唯一原因是您是否在使用 JT400 的主机上调用的程序中使用动态 SQL。
如果主机上运行的程序不使用动态SQL,那么就没有任何风险。
关于java - 使用 JTOpen 连接到 AS/400 时存在 SQL 注入(inject)风险,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5192272/