最近忙啊忙啊的，今天终于有点点时间抽出来看看技术文章了，最近国外又出了关于新型ORA注入技术的PAPER，赶紧测试，主要是出现在SQL语句字符拼 接的时候，DATE类型转换为VARCHAR 以及 NUMBER转换为VARCHAR加入的格式字符出现问题。

如果直接执行SQL语句或者参数绑定则不用担心太多， 如以下ORACLE存储过程 create or replace procedure kjdatepoc(date d) as begin insert into kjdatetable values(d); commit; end; 根本不需要担心遭受到SQL新型注入攻击，那么在什么地方会发生DATE 以及 NUMBER的注入攻击呢！？一般都是采用了动态SQL而又不采用参数绑定的语句。 例如工程师经常用的DBMS_SQL或者EXECUTE IM