您好,登錄后才能下訂單哦!
本篇內(nèi)容主要講解“怎么修改sql注入”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“怎么修改sql注入”吧!
最近公司安全部門對代碼進(jìn)行了靜態(tài)安全掃描,發(fā)現(xiàn)了一些安全問題,因?yàn)楣卷?xiàng)目是使用mybatis寫的,所以發(fā)現(xiàn)了一些sql注入的bug,主要是$問題引起的
一個(gè)是in 查詢使用了 $,還有一處是 order by 使用了。
in 標(biāo)簽 $ 修改為#
原語句:
and
ID in (${ids})
修改后
and
#{item} 鄭州好的去胎記醫(yī)院 http://m.zykdbhk.com/
使用foreach 標(biāo)簽,替$符號(hào),這里注意 collection需要把實(shí)體類的參數(shù)寫上,不要寫ids,要寫cdt.ids,
item 是每一項(xiàng)的值。
order by $
這個(gè)沒有找到特別好的修改方法,一個(gè)是在代碼出對輸入值做校驗(yàn),對不是相關(guān)字段排除,
到此,相信大家對“怎么修改sql注入”有了更深的了解,不妨來實(shí)際操作一番吧!這里是億速云網(wǎng)站,更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢,關(guān)注我們,繼續(xù)學(xué)習(xí)!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。