Oracle數据库游标中的安全隐患及防护建议.docxVIP

- PAGE 1 - ? 2016 Oracle数据库游标中的安全隐患及防护建议 引言 SQL是面向集合的语言，其结果一般是集合量（含多条记录），而pl/sql的变量是标量，一组变量一次只能存放一条记录。很多时候查询结果的记录数是不确定的，无法提前声明足够的变量。于是引入了游标的概念，游标使得数据库操作更灵活，但同时也给黑客入侵数据库带来了机会。安华金和数据库安全实验室（DBSec Labs）基于游标的应用原理，本文讨论游标可能带来什么安全隐患以及如何应对这些安全隐患。 游标的分类 oracle数据库游标是Pl/sql执行DQL、DML等语句的时候，oracle在内存中为其结果集分配一个缓冲区。游标是指向该区的一个指针、命名一个工作区或是一种结构化数据类型。它为应用程序提供了一种对结果集中每一行数据单独处理的方法。oracle 游标基本可以分为以下3类：显式游标、隐式游标和动态游标（关系具体看下图）。 游标的核心功能在于，从表中检索出结果集，每次指向一条记录，与客户端或应用程序进行交互，因此游标是设计嵌入式SQL语句的应用程序的常用编程方式。随着游标的广泛使用，其本身的安全隐患也变得越来越突出。 游标带来的安全隐患 oracle游标给数据库带来的安全隐患主要分为三大类： 缺乏异常处理，挂起的游标被恶意利用 游标将数据库中相应的信息存入内存块中，当用户打开游标的时候，可以