возможен ли sql-inj в хранимых процедурах MySQL

b10s · 17.03.2014, 19:22

Здравствуйте,

представим что у нас есть код:

Код:

DELIMITER $$

CREATE PROCEDURE `someProc`( IN _xxx VARCHAR(50) )
BEGIN 
   
    SELECT _xxx AS ttt;
        
END$$

DELIMITER ;

затем я его вызываю, например, так:

Код:

call someProc("ololol")

1. существует ли возможность заинъектиться ?
2. существует ли вообще какая-либо практическая возможность инъекта в хранимую процедуру MySQL? Пусть и написанную нарочно криво.

oRb · 18.03.2014, 11:16

1. нет
2. да

Код:

CREATE PROCEDURE `someProc`( IN _xxx VARCHAR(50) )
BEGIN
         set @query := concat('select "', _xxx, '" as ttt');
         prepare stmt from @query;
         execute stmt;
END$$

17.03.2014, 19:22	#1
b10s Регистрация: 10.01.2014 Сообщений: 6 Репутация: 1	возможен ли sql-inj в хранимых процедурах MySQL Здравствуйте, представим что у нас есть код: Код: DELIMITER $$ CREATE PROCEDURE `someProc`( IN _xxx VARCHAR(50) ) BEGIN SELECT _xxx AS ttt; END$$ DELIMITER ; затем я его вызываю, например, так: Код: call someProc("ololol") 1. существует ли возможность заинъектиться ? 2. существует ли вообще какая-либо практическая возможность инъекта в хранимую процедуру MySQL? Пусть и написанную нарочно криво.

18.03.2014, 11:16	#2
oRb Регистрация: 01.07.2010 Сообщений: 319 Репутация: 138	1. нет 2. да Код: CREATE PROCEDURE `someProc`( IN _xxx VARCHAR(50) ) BEGIN set @query := concat('select "', _xxx, '" as ttt'); prepare stmt from @query; execute stmt; END$$ __________________ Не оказываю никаких услуг. I don't provide any services. Последний раз редактировалось oRb; 18.03.2014 в 13:13..

Опции темы	Поиск в этой теме
Версия для печати Отправить по электронной почте	Поиск в этой теме: Расширенный поиск
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид