当前位置：文江博客话题详情

使用 JTOpen 连接到 AS/400 时存在 SQL 注入风险

发布于 2024-10-20 04:06:57 字数 325 浏览 7 评论 0原文

我们正在使用 JTOpen 连接到我们的 AS/400 机器，我正在尝试解决使用这种类型的集成时存在 SQL 注入漏洞的风险。

请注意，我们仅使用 API 的调用程序部分 - 而不是 jdbc 连接。

我不是 RPG 程序员，不了解将 SQL 注入到代码中的风险有多大，也不知道 JTOpen API 是否可以阻止此类攻击。

经过一番谷歌搜索后我发现，当 RPGLE 程序不使用存储过程时，可以对它们进行 SQL 注入。所以我的问题是：这是否也可以通过 JTOpen api 来完成。

我们是否需要以编程方式检查对 JTOpen API 的所有调用中的 SQL 注入？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

等风来 2024-10-27 04:06:57

如果您不使用 JDBC，则需要检查 SQL 注入的唯一原因是您是否在使用 JT400 的主机上调用的程序中使用动态 SQL。

如果主机上运行的程序不使用动态SQL，那么就完全没有风险。

回复收藏 0 原文

暖伴 2024-10-27 04:06:57

我不是 Java 专家，所以我在这里只使用伪代码。

根据我的理解，您可以使用动态 SQL，但不要将 where 语句连接在一起。

所以 string = "select * from table where key = " + id 是完全错误的。但是，您可以执行类似的操作，

string = "select * from table where key = @id";
build connection
add parameter to assign value to @id
execute command

但更好的选择是使用存储过程。

I am not a java guru so I will just use psuedo-code here.

Based on my understanding, you could use dynamic SQL but just don't concatenate your where statement together.

So string = "select * from table where key = " + id is completely wrong. You can, however, do something similar to

string = "select * from table where key = @id";
build connection
add parameter to assign value to @id
execute command

A better option though would be to use stored procedures.

回复收藏 0 原文

~没有更多了~

关于作者

溺孤伤于心

暂无简介

0 文章

0 评论

22 人气

关注发私信

1CH1MKgiKxn9p

文章 0 评论 0

关注

ゞ记忆︶ㄣ

文章 0 评论 0

关注

JackDx

文章 0 评论 0

关注

信远

文章 0 评论 0

关注

yaoduoduo1995

文章 0 评论 0

关注

霞映澄塘

文章 0 评论 0

友情链接

文江博客

使用 JTOpen 连接到 AS/400 时存在 SQL 注入风险

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（2）

关于作者

相关话题

热门标签