关注SQL注入

最后更新:2024-09-09 05:30:00 | 状态:未完成
防注入是指把符合SQL特征的参数值过滤或修改,避免拼接上参数值后破坏原SQL结构
anyline方法唯一与注入相关的是把参数值换成了占位符
但方法内部不会检测参数值是否合法,因为ConfigStore.and(String sql)之类的方法是可以接收原生SQL作参数的,这部分参数基本符合注入特征,但不参判定是注入。
所以检测注入应该在接收前端参数的过程中执行。到了调用anyline方法时就晚了
首页 最近更新 搜索 提交 回复