java - 使用 JTOpen 连接到 AS/400 时存在 SQL 注入(inject)风险

Question

我们正在使用 JTOpen 连接到我们的 AS/400 机器，我正在尝试解决使用这种类型的集成时存在 SQL 注入(inject)漏洞的风险。

请注意，我们仅使用 API 的调用程序部分 - 而不是 jdbc 连接。

我不是 RPG 程序员，不了解将 SQL 注入(inject)代码的风险，也不知道 JTOpen API 是否能阻止此类攻击。

我在谷歌上搜索了一下后发现，当 RPGLE 程序不使用存储过程时，可以对它们进行 SQL 注入(inject)。所以我的问题是:这是否也可以通过 JTOpen api 来完成。

我们是否需要在对 JTOpen API 的所有调用中以编程方式检查 SQL 注入(inject)？

Answer 1

如果您不使用 JDBC，则需要检查 SQL 注入(inject)的唯一原因是您是否在使用 JT400 的主机上调用的程序中使用动态 SQL。

如果主机上运行的程序不使用动态SQL，那么就没有任何风险。