使用sql-injection创建数据库触发器，不需要堆叠查询。

Question

目前我正在做一篇关于RFID标签的sql注入的研究论文，我很好奇，如果禁用了堆叠查询，是否有可能使用sql注入创建数据库触发器。如果启用了堆叠查询，当然很容易(假设您知道表的布局)，但是如果出于安全原因禁用它们会怎么样呢？

问题是，考虑到存在SQL注入，是否可以创建触发器。数据库不重要，选择一个适合需要的数据库。

Answer 1

在找什么数据库？在PostgreSQL中，每个触发器都调用一个存储过程。在存储过程中，如果需要，可以使用执行动态查询。如果您不使用同名()和/或quote_literal()对SQL做任何操作，那么您的过程就容易受到SQL注入的影响。这是你自己的选择。

用户输入永远不能被信任，那么为什么要担心RFID输入呢？它是输入，因此它不能被信任。