0
点赞
收藏
分享

微信扫一扫

mybatis实现sql注入,以及注意点

zhaoxj0217 2023-02-28 阅读 74


实现sql注入非常简单,用${sqlString} 注入即可。

实现sql自动注入

接口部分:

public List<LinkedHashMap<String, Object>> customQueryProduct(String sqlContent);

sql部分:

<select id="customQueryProduct" parameterType="String" resultType="java.util.LinkedHashMap">
<![CDATA[
SELECT * FROM (${value}) obj
]]>
</select>

注:
sql注入风险极高,一定谨慎使用。例如不小心输入删除表语句,那就万劫不复了。
传入sql的变量名,不要和关键字同名,否则易报错。

建议: 在controller里面最好加规则限制,例如包含drop,truncate,delete 字样的语句要进行过滤,减少犯错的几率。

delete接口不要轻易开放

delete接口一般不要轻易开放,因为确实有风险,别人调用delete接口直接就可以删除数据。
一般都是service中是有delete方法的。 糅合到业务中是可以的。但是单独的删除操作还是慎用。


举报

相关推荐

0 条评论