Мой коллега небезопасно использует свой код и позволяет пользователю загрузите файл SQL для запуска на сервере.
Он удаляет все ключевые слова в файле, такие как "EXEC", "DROP", "UPDATE", "INSERT", "TRUNC"
. Я хочу показать ему ошибочность его способов, используя его EXEC (@sql)
Моя первая попытка будет с 'EXEXECEC (N''SELECT' 'Ты DRDROPOPPopled мяч, Боб!' ')'
Но он может отфильтровать все это в loop.
Есть ли способ использовать код моего коллеги? Или достаточно отфильтровать ключевые слова?
Edit: Я попросил его проверить свой код. Если код содержит ключевое слово, он его не выполняет. Я все еще пытаюсь понять, как использовать это с помощью двоичного преобразования.