Con SQL Server, ¿el signo aparece como una amenaza relacionada con la inyección de SQL? Estoy trabajando en un proyecto que incluye esto como un personaje en la lista negra. Soy consciente de que existe una amenaza relacionada con Oracle (SQL * Plus) pero parece que no se puede encontrar un problema con el símbolo comercial. Me he referido a varias hojas de trucos y artículos, y no puedo encontrar una referencia a ella (excepto Oracle).
Técnicamente sí, pero no más que cualquier otra sintaxis de T-SQL. El & se usa para acciones bitwise, y si se encuentra una vulnerabilidad de inyección SQL aplicable, un atacante podría usarla para buscar más información sobre la estructura de la consulta / datos, pero es un escenario muy especializado y, en mi opinión, un Muy baja prioridad. Puedo pensar en muchas más razones para incluir en la lista blanca un símbolo de lo que puedo para incluirlo en la lista negra.
Consulte el enlace a continuación para obtener más documentación sobre el operador.
enlace
Lea otras preguntas en las etiquetas sql-injection sql-server