数据蒋堂 | 报表工具的SQL植入风险

作者：蒋步星来源：数据蒋堂本文共2600字，建议阅读10分钟。报表开发人员如何规避安全漏洞问题？所有的报表工具都会提供参数功能，主要都是用于根据用户输入的查询条件来选取合适的数据。比如希望查询指定时间段的数据，就可以把时间段作为参数传递给报表，报表在从数据库中取数时将这些参数应用到取数SQL的WHERE条件上，就可以根据不同参数取出不同数据来呈现了。不过，这样做要求事先把查询条件的规格做死，比如按时间段查询，那就要事先把WHERE写成 date>=? AND date于是，通用查询出现了。报表工具提供一种特殊的字符串型参数，允许将其应用于替换SQL的某一部分，比如WHERE子句。界面端根据用户输入拼出合法的SQL条件串，作为参数传递给报表替换现有SQL的 ………………………………