永不應該使用那些無法安全使用的函數。
DBMS_UTILITY.EXEC_DDL_STATEMENT 將僅執行歸類為數據定義語言的一部分的指令。嵌入式 SQL 不支持的其他指令將在不提示的情況下忽略。當使用該程序時,這種行為將導致很難檢測到錯誤。
[1] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP2060.4 CAT II, APP3590.2 CAT I
[2] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP2060.4 CAT II, APP3590.2 CAT II
[3] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 242
[4] How to write SQL injection proof PL/SQL
[5] Standards Mapping - SANS Top 25 2011 - (SANS Top 25 2011) Risky Resource Management - CWE ID 676