Всё это не учитывает злобных злонамеренных извращенцев.
А таковые, к сожалению, встречаются.

Например, перечень запускаемых хранимых процедур может хранится в таблице, читаться оттуда и запускаться через exec или sp_executesql.

Или, например, как вам такое:


Почти, млять, реальный кусок из реальной программы, но в реальности всё еще жопнее!
Там формируется кусок текста для динамического sql, причем в нем могут запускаться хранимки вида proc_tools, proc_prepare, proc_exec, причем эти 'prepare' и т.д. формируются через replace, по статически заданному куску, а 'proc', значит, замаскированы, см. выше, чтобы этим самым реплейсом случайно не ловились.

И вот скажите мне, друзья, какими словами можно выразить благодарность разработчику?

... И это еще не учтен вариант формирование самих sp динамически...

Можно, я не буду продолжать?

L_argoИ вот скажите мне, друзья, какими словами можно выразить благодарность разработчику?Он реально преуспел в обфускации.
Видимо жадный заказчик его напарил, но он в долгу не остался.
Теперь заказчик вдвойне платит другому разработчику и доводит его до белого каления.
Самое забавное - это не то, чтобы обфускация.
"Они так видят"(С)
... лучше б впрямую обфусцировали.

Владислав Колосов,
Видимо, в частности - да.

Помните историю с баша, о разборе текстовых данных на java?
Ну, дескать, что относиться к этому нужно как к уборке квартиры после пьяной студенческой вечеринки:
- Что? На антресолях насрали? Ну что за люди!

Еще хранимая процедура может вызываться другой хранимой процедурой через севис брокер, путем, собственно, отправки сообщения брокеру. И тут, как вы понимаете, имя вызываемой процедуры вообще фигурировать не будет.
А еще - путем запуска задания агента.
Или вызываться в коде хранимки на CLR.
Или в триггере на таблицу, изменения в которой производятся в хранимке.
Или, например, в триггере уровня базы данных, или уровня сервера.

Но самое мое любимое - это, безусловно, временные хранимые процедуры.
Ну, т.е. в хранимке фигурирует вызов некой временной хранимой процедуры, но вот сама временная хранимая процедура, куда может быть понапихано что угодно, создается логон триггером, например. Ну или вообще - с клиента.

А использование sql-инъекции в "мирных целях" вы видели?
Я, например, видел.
Млять.

Не могу, остановиться, простите, распирает меня!
Как вам такой шедевр зависимостей.
Кусок, правда, модельный, но для понимания идеи - достаточно.
Сначала, они сделали так, цитирую фактически с сохранением оригинального синтаксиса:



А потом элегантно разбросали везде, где смогли, щедрой рукой, т.с., по всем процедуркам:


Причем апдейты иногда очень даже зубодробительные!

И всё в таком духе.
(это я сильно упрощенно, для иллюстрации)

Вот вы мне скажите:
1. Кем надо быть, чтобы такое творить?
2. Кто этих uebkoff научил так делать?
3. И какой, какой в этом смысл, а? Ну, кроме того, чтобы потом сопровождающих задолбали в ноль.

Объясните, может я чего то не понимаю?
Это может в кукбоке каком есть или еще что?
Должно же быть рациональное зерно какое-то, кроме шизофрении, а?

Прошу прощения за экспрессию.
Но вопросы не риторические, мне интересно!
:-)

TaPaK, нет, это я так, для примера нарисовал.
Триггер - реальная большая хранимка, с разветвленной логикой, которая учитывает контекст сессии и т.д.
И причем, если б это одна точка такая была - это как то понятно было бы.
Нет же! Там с десяток таких вьюх, c INSTEAD OF триггерами, частью - поверх статических списков, частью - поверх таблиц, причем вьюхи - потому что содержимое этих таблиц фильтруется по имени пользователя или по принадлежности к роли (не 2017, row security нету).
Нет! Это используется как самостоятельный прием программирования!
Они, значит, делают апдейт каких то там столбцов в этих вьюхах, в хранимках, я имею ввиду, делают, а, зачастую - прямо с клиента, прямым запросом, а внутри триггера, значит, анализируют то, что прилетело в inserted, и что-то там дальше делают.

Я так понимаю, господа просто не умеют табличных типов. Ну, или не хотят уметь.

Но мне интересно, откуда такая зараза могла приползти? Прием, в смысле. В оракуле так делают? Или в постгрессе? Кто надоумил то?

Причем, вот беда, я кроме как "плохо поддерживаемо" никаких аргументов привести не могу. Не хватает знаний. Я не разработчик, я сисадмин.