sql注入修改
最近公司安全部門對程式碼進行了靜態安全掃描,發現了一些安全問題,因為公司專案是使用mybatis寫的,所以發現了一些sql注入的bug,主要是$問題引起的
一個是in 查詢使用了 $,還有一處是 order by 使用了。
in 標籤 $ 修改為#
原語句:
and
ID in (${ids})
修改後
and
#{item}
使用foreach 標籤,替$符號,這裡注意 collection需要把實體類的引數寫上,不要寫ids,要寫cdt.ids,
item 是每一項的值。
order by $
這個沒有找到特別好的修改方法,一個是在程式碼出對輸入值做校驗,對不是相關欄位排除,
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69979119/viewspace-2709064/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- SQL 注入:聯合注入SQL
- sql注入之union注入SQL
- sql注入SQL
- SQL 注入SQL
- sql注入1SQL
- sql注入2SQL
- SQL防注入SQL
- (17)sql注入與sql modeSQL
- SQL Server 之 SQL 注入篇SQLServer
- sql注入之堆疊注入及waf繞過注入SQL
- sql注入之型別及提交注入SQL型別
- sql注入攻擊SQL
- 如何防止sql注入SQL
- SQL 注入攻擊SQL
- PHP SQL防注入PHPSQL
- sql注入——盲注SQL
- 如何有效防止sql注入SQL
- pick靶場-sql注入SQL
- SQL MAP 注入測試SQL
- XSS 和 SQL 注入SQL
- SQL,請別注入ASPSQL
- 二次注入(SQL)SQL
- JDBC 如何有效防止 SQL 注入JDBCSQL
- sql注入簡單總結SQL
- Python如何防止sql注入PythonSQL
- SQL 注入技術詳解SQL
- 使用sqlmap進行sql注入SQL
- SQL 的注入式攻擊SQL
- oracle 輕鬆小sql注入OracleSQL
- php操作mysql防止sql注入(合集)PHPMySql
- Web 安全漏洞之 SQL 注入WebSQL
- SQL Server的WAITFOR DELAY注入SQLServerAI
- 常見sql注入原理詳解!SQL
- SQL 注入攻防入門詳解SQL
- 使用exp進行SQL報錯注入SQL
- .Net防sql注入的方法總結SQL
- SQL隱碼攻擊-堆疊注入SQL
- sql注入學習簡單記錄SQL