我对abap功能模块SAVE_TEXT有疑问。我假设可以创建自定义tdobject
和tdid
,然后将长文本存储在表STXH, STX
L 中。SAVE_TEXT对SQL
注入攻击的安全性如何?由于以RAW格式编码文本,它不会容易受到攻击吗?
问问题
1707 次
1 回答
2
您的第一个假设要么在翻译中丢失,要么首先是错误的 -通常由应用程序开发人员使用事务手动维护TDOBJECT
和的有效值。它们不是作为日常应用程序处理的一部分而创建的。TDID
SE75
就数据库访问而言,有两个安全级别可以防止 SQL 注入,尽管其中一个并非设计为安全级别:
文本的内容以内部形式存储,该形式被序列化为字节字符串。原始文本中可能存在的任何 SQL 命令都无法通过此转换。
DML 命令通过通常的数据库接口层传递,该接口层使用带有一组固定变量的准备好的语句,这些变量仅在执行语句时才提供值。据我所知,没有使用动态 SQL 语句来修改
STX*
文本。
对于正常的业务应用程序,这应该足够安全。如果你想经营一座核电站,好吧——我们必须谈谈。
于 2013-01-22T15:16:20.667 回答