有効な SQL クエリは、回避策として、sql-射出として識別されます。

• SQL インジェクションとは何か: SQL このインジェクションは、細工された SQL quire が攻撃者がデータを表示したり編集したり、極端なケースではデータへのアクセスを拒否したりできる Web セキュリティの脆弱性です。 つまり、攻撃者は SQL 、プライバシー、機密情報や変更権への不正アクセス、DoS に至る方法でクエリを操作できます。
• 一般的なキーワードは何ですか: インジェクションの一般的なキーワード SQL は、次のように、 SELECT CASE WHEN DROP テーブル;-- , CASE WHEN "、@@version、information_schema.tables、部分文字列 WAITFOR DELETE 、、デュアル OR 、1=1、 その他です。 次に、挿入文字列の例を SQL 示します。

modules.readFromXXX.attributes.SQL.value=SELECT TOP 1 .....and so on

SELECT email, passwd, login_id, full_name FROM members WHERE email = 'x';
INSERT INTO members ...and soon...;--'; 

http://www.example.com/index.php?username=1'%20or%20'1'%20=%20'1'))/*&password=foo

http://www.example.com/product.php?id=10||UTL_INADDR.GET_HOST_NAME( (SELECT user FROM DUAL) )--

• SQLクエリが上記と同様の場合は、トリガーされる sql インジェクションが終了します。 クエリは問題のない場合もありますが、署名と一致します。脅威 SQL 保管庫と呼ばれる無料の脅威調査ツールを使用すると、最も一般的なインジェクションを確認できます。

1. クエリが問題ないと思われる場合 SQL は、署名に例外を追加できます。
2. また、1 つの Web サイトに対して例外を追加して、攻撃対象を絞り込むこともできます。 以下の手順に従ってください。
   1. 新しい脆弱性プロファイルを作成し、脅威の例外を追加 ID する :
   2. 次に、新しい policy を作成する、(a) [url/service] (b) アクション>プロファイルタブの下に新しい脆弱性プロファイルを追加する下にウェブサイトのアドレスを追加します。
   3. 新しい policy ファイルが元のファイルの前にあるかどうかを確認します。
   4. この例外は 1 つの Web サイトに対してのみ許可されます。