log by kj021320 08.6.22
众所周知 ORACLE 是不支持用符号分割做 多语句操作的。
那么在 insert的时候出现 SQL injection 是否就是鸡肋呢?
前段时间我看 某个论坛出现 access版本的 sqlinjection 出现在 insert的地方后来 来回测试几次 发现根本难以利
用今天进行DBA培训的时候,随手进行了test,居然令我很意外,看下面 sqlplus的记录
SQL> create table inserttable(n varchar2(100));
表已创建。
SQL> insert into inserttable(n) values((select user from dual));
已创建 1 行。
SQL> select * from inserttable;
N
--------------------
KJ
SQL> rollback;
回退已完成。
SQL> insert into inserttable(n) values((select a from test));
insert into inserttable(n) values((select a from test))
*
第 1 行出现错误:
ORA-01427: 单行子查询返回多个行
SQL> spool off
大有用处啊