SQL注入新方法　可利用日期和数字类型

威盾防火墙 2008-04-29

国外媒体报道，安全研究人员公布了一种能使黑客攻击Oracle数据库的新方法。该研究人员称，为了能够改变或删除数据，甚至安装软件，这种称为侧面SQL注入的攻击可被用于获取Oracle服务器上数据库管理员的特权。

在一次SQL注入攻击中，黑客们能够创建专门伪造的搜索词语，这种词语可欺骗数据库运行SQL命令。以前，安全专家们认为只有攻击者将字符串输入到数据库中，SQL 注入式攻击才能工作，但是新型的攻击可以通过被称为日期型和数字型的新数据类型实现。

新型攻击针对的是由Oracle开发人员所使用的过程语言或SQL编程语言。对此新型攻击，Oracle并没有任何官方回复。