2
我有一個關於abap功能模塊SAVE_TEXT問題。我認爲有可能創建自定義tdobject和tdid,那麼longtextes將被存儲在表STXH, STX L. SAVE_TEXT針對SQL注入攻擊有多安全?它是否因爲以RAW格式對文本進行編碼而不易受到攻擊?SAP SAVE_TEXT功能模塊是一個安全的不受SQL注入?
A
回答
2
你的第一個假設要麼迷失在翻譯或錯誤擺在首位 - 的TDOBJECT和TDID有效值手動維護使用交易SE75,通常是由應用程序開發人員。它們不是作爲日常應用程序處理的一部分而創建的。
至於數據庫的訪問而言,有兩種安全級別,以防止SQL注入,但一個不被設計成爲一個安全級別:
文本的內容存儲在作爲字節字符串序列化的內部表單。無論原始文本中是否存在SQL命令,都無法通過此轉換完成。
的DML命令通過使用與一套固定的正在執行的語句只有當與值提供的變量準備語句通常的數據庫接口層傳遞。據我所見,沒有動態SQL語句用於修改
STX*文本。
對於正常的業務應用程序,這應該足夠安全。如果你想運行一座核電站,那麼 - 我們不得不說話。
相關問題
- 1. 此代碼是否安全,不受任何SQL注入攻擊?
- 2. 通過AJAX注入受控HTML是一個安全問題?
- 3. 這是GET安全的SQL注入?
- 4. 我安全的SQL注入?
- 5. 這是一個安全的方法來防止SQL注入?
- 6. SQL注入:這行是否安全?
- 7. 在SQL注入方面是否安全?
- 8. SQL注入 - 這是(oneliner)安全嗎?
- 9. 使用SAP java連接器調用的SAP功能模塊列表是什麼?
- 10. 這是一個安全/強大的輸入消毒功能嗎?
- 11. 解決:在受測試模塊中引入不同的模塊補丁功能
- 12. 使GHC接受主功能不是IO的主模塊()
- 13. VBA to SAP // RFC功能模塊,表格爲輸入參數
- 14. SQL Server 2016安全功能
- 15. 從模塊導入*是不是導入我的功能
- 16. 功能啓動后角模塊注入模塊
- 17. SAP功能模塊引用類型不允許使用RFC
- 18. 安全註釋 - 不能安全
- 19. 安全可能不是一個橫切關注?
- 20. 不安全的功能
- 21. SqlCommand.Parameters.AddWithValue注入是否安全?
- 22. 是FieldByName注入安全嗎?
- 23. 功能getip()需要更新,以免受SQL注入更多的安全性和準確性
- 24. 此功能是否安全?
- 25. 尋找支持遠程功能的SAP模塊的.NET SAP RFC教程
- 26. 是否可以將模塊注入導入模塊的全局變量?
- 27. 來自SQL注入的安全性
- 28. 安全登錄和註冊功能
- 29. 考慮SQL注入這個PHP登錄技術是否安全?
- 30. 這個存儲過程是否安全,避免SQL注入?
要添加,如果你擔心SQL注入,因爲你正在運行核電廠的話,我不會與保障「SAVE_TEXT」開始的。 – tomdemuyt
感謝您的詳細解釋,VWegert!這非常有用。當然,我不想經營一座核電站。使用自定義tdobject和tdid我意味着使用SPRO事務創建文本對象:-)非常感謝! – Elena
@tomdemuyt:只是想說明,「安全」不是一個簡單的事情。廉價,可用,安全 - 選擇兩個。你不能同時擁有所有三個 - 有史以來。 – vwegert