Peut être oui peut être non.Citation:
Envoyé par Rams7s
Bypass Oracle dbms_assert.
Version imprimable
Peut être oui peut être non.Citation:
Envoyé par Rams7s
Bypass Oracle dbms_assert.
Il est inttéressant ton lien mais je ne vois pas en quoi il empêche l'utilisation de dbms_assert...
Oui QUALIFIED_SQL_NAME est vulnérable en même temps il fait son boulot, non ? une colonne encapsulée par " " est valide n'est ce pas.
Pour ce qui est de SQL_OBJECT_NAME ou de SCHEMA_NAME un code bien développé ne permettra pas à un attaquant de créer la table nécessaire à l'injonction donc ils ne sont pas particulièrement vulnérables je trouve, non ?
Mais je suis tout à fait d'accord avec ta proposition d'utiliser AUTHID pour ce besoin.