유효한 SQL 문자열이있는 경우; 어쨌든 나는 그것을 PL/SQL에서 실행할 수있다. 그러나 그것이 SELECT 문일 뿐이라는 것을 보장한다. 복잡한 구문 분석을하지 않고도 이스케이프 문자/중첩 명령이나 그 재즈가없는 것을 보장하지 않는다.Oracle (PL/SQL)에서 동적 SQL 실행 및 보안 보장
편집 :
내가 정말 달성하기 위해 노력하고있어 일반, 내장 내 응용 프로그램, 쿼리 도구입니다. 도메인 친화적 인 GUI가있어서 비 기술 사용자가 합리적으로 복잡한 쿼리를 작성할 수 있습니다. 이 툴은 검색의 버전 관리를 처리하고 필요한 경우 내부 조인을 추가하며 일반적인 SQL DEV 유형 도구를 찾을 수없는 일부 애플리케이션 관련 정보를 추가합니다.
응용 프로그램이 SQL 쿼리를 성공적으로 만듭니다. 문제는 사용자가 자신의 SQL을 직접 입력하도록 허용한다는 것입니다. 잠재적 SQL 주입 유형 문제가 걱정됩니다.
이것이 적절한 장소인지 확실하지 않습니다. 하지만이 질문에 덧붙여서 - 누군가가이 오라클의 책을 추천 할 수 있다면이 성질의 것들을 빠르게 할 수있을 것입니다. 정말 고맙겠습니다.
왜 그렇게 자발적으로 필요한 것이 있습니까? 유스 케이스의 범위를 인젝션 세이프 인 매개 변수만을 사용하는 것으로 좁힐 수 있습니까? –