SAP安全性是一个巨大的挑战，在未来许多年都将是一个挑战。为了彻底保护应用程序，需要了解其所有组件和潜在威胁。SAP安全是多层次的，它的构建块从基础设施到应用程序安全。为了破坏一个应用程序，海淘客，只有一个漏洞可能足以危害整个环境。

以下是2017年6月至11月发布的SAP安全说明概述，按其优先级分类。

大量漏洞源于不安全的ABAP编码。在这篇博客文章中，我们将特别关注SQL注入，物联网产品，这是ABAP代码中的一个漏洞。

通过阅读这篇系列文章的第一篇，北京大数据公司，我想引发对实时安全监控需求的认识。

什么是SQL注入？

在ABAP中，我们有多种读取和更新数据库值的方法。通过修改特定变量或SQL access子句，可以获得对安全数据的未经授权的访问，或者你甚至可以直接改变数据库中的数据。

让我们看看最基本的SQL注入形式，通过使用常用的开放SQL语句和选择屏幕参数。

下面的程序读取特定用户ID的用户主数据：

当我们"按设计"运行报告时，大数据软件，我们得到一个特定用户的输出用户

然而，当我们摆弄在选择屏幕上输入的内容时，完全绕过了典型的验证规则，消防物联网，我们能够提取整个用户主数据！

上面的代码可能是一个教科书上的例子，你可能会惊讶于我们经常看到这样的代码片段通过既定的QA流程。说实话，作为一个ABAP开发人员，我已经有20多年了，此外，当涉及到引入某些不需要的漏洞时，我必须认罪。

除了相对基本的SQL注入场景外，使用开放式SQL，新技术也引入了新的漏洞。这里的一个例子是ABAP管理的数据库过程，即HANA数据库中可用的SQL脚本函数。使用变量部分的EXEC语句会带来与开放式SQL非常相似的风险。

如何识别SQL注入漏洞？

如今，每个自尊的SAP开发人员都应该意识到众所周知的漏洞。"意识"可能已经弥补了通过不安全代码引入的许多风险，它肯定不会关闭漏洞引入业务关键型环境的大门。

SAP standard提供了一系列工具，以确保可以识别违反代码的行为。ABAP测试驾驶舱（ATC）是一个ABAP检查框架，允许对ABAP程序进行静态检查和单元测试。ATC也是SAP代码检查器（SCI）、扩展语法检查（SLIN）和SAP代码漏洞分析器（CVA）之上的保护伞。

尤其是最后一个SAP代码漏洞分析器，在代码安全方面起到了很大的作用。尽管SAP将CVA作为最新NetWeaver发行版的标准提供，但遗憾的是，它的使用远不是免费的。

代码安全不应是可选的

特别是在大型企业中，我们看到风险和漏洞意识转化为非常具体的措施，以减轻不断增长的黑客攻击、数据盗窃、数据丢失等风险，…

除了SAP标准的工具组合（如code inspector和CVA）之外，市场上还有许多优秀的第三方工具，它们执行静态代码扫描，甚至提供即时修复选项。不过，这些工具在相对较晚的阶段突出了漏洞。

代码验证可能由开发人员执行，或者在传输版本的同行或QA审查期间执行。充其量，一旦源代码被发布或有效部署，就会执行静态和全面的分析。

实时代码漏洞检查

每当开发人员在开发环境中引入新的漏洞时，这可能与您的安全运营中心无关，他们可能主要监控您的生产和关键业务运营。然而，当开发人员在仍然编码的情况下收到即时警报时，不会有未被注意到的漏洞被释放到后续环境中。