SQL-Injection - dynamischer select

Alles rund um die Sprache ABAP®: Funktionsbausteine, Listen, ALV
1 Beitrag • Seite 1 von 1
1 Beitrag Seite 1 von 1

SQL-Injection - dynamischer select

Beitrag von Xilukarim (ForumUser / 79 / 15 / 8 ) »
Hallo,

ich experimentiere mit dynamischen selects und habe mit einem Kollegen über sql-injection diskutiert. Aufgrund der Syntax bin ich mir eigentlich recht sicher, dass das hier kein Thema ist, aber ich habe dieses Beispiel gebaut, und es läuft nicht in einen Fehler und bin da recht erstaunt. Es werden gottseidank keine der Aktionen durchgeführt, also kein selektieren der Pa0001, Variablen bla und bla2 sind nicht vorhanden und auch kein Löschen des Pa0001-Eintrages. Es wird aber trotzdem der select von ekko und ekpo ordnungsgemäß durchgeführt. Meine Frage ist, weiß jemand zuverlässig, dass hier keine Injections möglich sind?

Code: Alles auswählen.

  data fieldlist type string.
  fieldlist = |* from PA0001 where pernr = '123' into table @data(bla). delete pa0001 where pernr = '123'. commit work. data bla2 type char10. bla2 = 'Xilukarim'. select ekko~*, ekpo~*|.

  data from_parameter type string.
  from_parameter = 'ekko join ekpo on ekpo~ebeln = ekko~ebeln'.

  data where_parameter type string.
  where_parameter = |ekko~ebeln = '1234'|.

  "select ekko~*, ekpo~*
  try.
    select (fieldlist)
      from (from_parameter)
      where (where_parameter)
      into table @<lt_result>.

    CATCH CX_SY_DYNAMIC_OSQL_SEMANTICS INTO DATA(lx).
      write: / |SQL-Semantic-Fehler: { lx->get_text( ) }|.
      "RAISE EXCEPTION lx.
    catch CX_SY_DYNAMIC_OSQL_SYNTAX into data(lx2).
      write: / |SQL-Syntax-Fehler: { lx2->get_text( ) }|.
    ENDTRY.
ECC 6.07
Netweaver 7.40

gesponsert
Stellenangebote auf ABAPforum.com schalten
kostenfrei für Ausbildungsberufe und Werksstudenten


Seite 1 von 1

Vergleichbare Themen

9
Antw.
5598
Views
Dynamischer Select
von m.schwertle » 22.02.2008 11:09 • Verfasst in ABAP® Core
3
Antw.
2517
Views
Select mit dynamischer Range
von platx » 15.08.2009 10:59 • Verfasst in ABAP® für Anfänger
6
Antw.
1416
Views
Dynamischer Platzhalter im Select
von kaim77 » 07.09.2022 17:42 • Verfasst in ABAP® Core
14
Antw.
5667
Views
Schutz vor SQL Injection in ABAP Code. Wer kann helfen?
von aljon.ka » 24.01.2013 10:42 • Verfasst in ABAP® Core
13
Antw.
11116
Views
Dynamischer Selection Screen mit dynamischer Suchhilfe
von Johnny11 » 26.03.2014 08:19 • Verfasst in ABAP® Core

Über diesen Beitrag

Xilukarim

Unterstütze die Community und teile den Beitrag für mehr Leser und Austausch

Newsletter Anmeldung

Keine Beiträge verpassen! Wöchentlich versenden wir lesenwerte Beiträge aus unserer Community.
Die letzte Ausgabe findest du hier.
Details zum Versandverfahren und zu Ihren Widerrufsmöglichkeiten findest du in unserer Datenschutzerklärung.