ITPub博客

首页 > 应用开发 > Java > sql注入修改

sql注入修改

原创 Java 作者:20170405 时间:2020-08-04 13:57:34 0 删除 编辑

  最近公司安全部门对代码进行了静态安全扫描,发现了一些安全问题,因为公司项目是使用mybatis写的,所以发现了一些sql注入的bug,主要是$问题引起的

  一个是in 查询使用了 $,还有一处是 order by 使用了。

  in 标签 $ 修改为#

  原语句:

  and

  ID in (${ids})

  修改后

  and

   #{item}  

  使用foreach 标签,替$符号,这里注意 collection需要把实体类的参数写上,不要写ids,要写cdt.ids,

  item 是每一项的值。

  order by $

  这个没有找到特别好的修改方法,一个是在代码出对输入值做校验,对不是相关字段排除,


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/69979119/viewspace-2709064/,如需转载,请注明出处,否则将追究法律责任。

上一篇: Java 抽象类
请登录后发表评论 登录
全部评论

注册时间:2020-07-14

  • 博文量
    63
  • 访问量
    27673