-2
sql= "SELECT * FROM BOOK WHERE pubName = '" & myPubName & "'"
myPubName уже инкапсулирован.Является ли этот код склонным к атакам SQL-инъекций?
sql= "SELECT * FROM BOOK WHERE pubName = '" & myPubName & "'"
myPubName уже инкапсулирован.Является ли этот код склонным к атакам SQL-инъекций?
Да. Если вы принимаете переменную «myPubName» в качестве пользовательского ввода и не проверяете ее правильно.
Чтобы внедрить SQL кто-то должен писать так как значение "myPubName" переменной " 'SOMETEXT' или 1 = 1"
Тогда запрос будет выглядеть
SELECT * FROM BOOK WHERE pubName = 'sometext' или 1 = 1
Что будет в основном возвращать все строки из таблицы книг.
Ваш вопрос непонятен. Пожалуйста, ознакомьтесь с инструкциями, чтобы опубликовать вопрос и предоставить более подробную информацию для получения более качественных ответов. – vivek
YES, SI, VI, TAK, JA –
положите hi 'или 1 = 1 - вместо myPubName и увидите результат. Вы получите ответ. – vivek