create or replace procedure kjdatepoc(date d) as begin execute immediate ‘insert into kjdatetable values('|| d ||')'; commit; end; 那么遇到以上的存儲過程或者函數(shù)等,也通過修改SESSION中的NLS_DATE_FORMAT中的值達到SQL注射的目的, 老外的PAPER講解得非常詳細了 ,我在這里也不廢話。
我的《SQL Injection with MySQL》(《黑客防線》7月的專題)已經(jīng)對MySQL的注入有了比較全面的介紹了,但是有一個危害相當大的函數(shù),我并沒有在文中提及,因為如果能靈活應用這個函數(shù),那PHP甚至服務器的安全性均會大打折扣,由于《SQL Injection with MySQL》的發(fā)表時間是在暑假期間,考慮到很多新手、學生和品德敗壞的人...