ABAP 项目中使用 ADBC 处理动态 SQL 时,若直接将外部输入拼接到 SQL 字符串中,会导致 SQL 注入漏洞。攻击者可通过构造恶意输入将数据转化为指令。基于 ABAP 体系工程实践,探讨 ADBC 场景下 SQL 注入风险的成因及应对策略。
在很多 ABAP 项目里,只要一提到性能优化、跨库兼容性不足、或者需要用到数据库特性(例如某些 HANA 专属语法、复杂的动态查询拼装),不少同学就会想到 ADBC(ABAP Database Connectivity)。ADBC 的确很强:你把 SQL 语句当作字符串交给 CL_SQL_STATEMENT / CL_SQL_PREPARED_STATEMENT 这类对象,它们再把语句原样交给数据库执行。也正因为这个 原样交给数据库 的特性,一旦 SQL 字符串里混入了来自程序外部的内容(用户输入、HTTP 参数、OData filter、文件内容、RFC 入参等),就会立刻落入 SQL injection 的经典攻击面:攻击者不是在 输入数据,而是在 输入指令。
这篇文章会从 ABAP 体系(On-Premise、S/4HANA private cloud、S/4HANA public cloud、SAP BTP 上的 ABAP environment)常见的工程实践出发,讲清楚 ADBC 场景下 SQL injection 为什么更容易发生、怎么
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
在线格式化和美化您的 SQL 查询(它支持各种 SQL 方言)。 在线工具,SQL 美化和格式化在线工具,online
解析 INSERT 等受限 SQL,导出为 CSV、JSON、XML、YAML、HTML 表格(见页内语法说明)。 在线工具,SQL转CSV/JSON/XML在线工具,online
CSV 与 JSON/XML/HTML/TSV/SQL 等互转,单页多 Tab。 在线工具,CSV 工具包在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
