如this article所示,DB2 可能容易受到 SQL 注入(inject)攻击:
* Potential SQL injection if X, Y or Z host variables come from untrusted input
STRING "INSERT INTO TBL (a,b,c) VALUES (" X "," Y "," Z ")" INTO MY-SQL.
EXEC SQL PREPARE STMT FROM :MY-SQL END-EXEC.
EXEC SQL EXECUTE STMT END-EXEC.
我的问题是 native IMS 命令是否容易受到此类(或类似)注入(inject)的攻击?例如,通过在 the ISRT DLI command 中输入恶意输入。
最佳答案
这取决于您计划如何访问 IMS 数据库。
引自IBM document .
The SQL statements that you issue through the web interface or the ISPF interface are executed as IMS application programming API in the IMS SPUFI application program in z/OS®. You can select COBOL or Java™ for the language environment to execute SQL statements.
如果您使用 SQL,则可能容易受到 SQL 注入(inject)的攻击。</p>
如果您使用 native IMS 命令,可能不会。但清理您的输入仍然是一个好主意,即使对于 native IMS 命令也是如此。
关于db2 - 原生 IMS 是否容易受到注入(inject)攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62333044/