BUG #1049: Invalid SQL Executed as JDBC Prepared Statement still executes embedded SQL
В списке pgsql-bugs по дате отправления:
| От | PostgreSQL Bugs List |
|---|---|
| Тема | BUG #1049: Invalid SQL Executed as JDBC Prepared Statement still executes embedded SQL |
| Дата | |
| Msg-id | 20040114124804.0D1E2CF4A06@www.postgresql.com обсуждение исходный текст |
| Ответы |
Re: BUG #1049: Invalid SQL Executed as JDBC Prepared Statement still executes embedded SQL
|
| Список | pgsql-bugs |
The following bug has been logged online: Bug reference: 1049 Logged by: Tom Hargrave Email address: tomh@fisher.co.uk PostgreSQL version: 7.3.2 Operating system: Linux Description: Invalid SQL Executed as JDBC Prepared Statement still executes embedded SQL Details: If a piece of SQL is executed in a JDBC prepared statement that includes a semicolon and a valid piece of SQL, then the embedded valid piece of SQL still executes even though the overall statement is invalid. Example: select c1 from t1 order by;drop t2; c1 This causes security issues if the SQL is constructed from a web page that inputs strings that are used to construct a statement, since a hacker can embed SQL within a single field that executes regardless of the overall statement being invalid. See article: http://www.computerweekly.com/articles/article.asp?liArticleID=127470&liFla vourID=1
В списке pgsql-bugs по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера