覆盖检查sql注入类失败

Blade 未结

关注

 2  265

一、该问题的重现步骤是什么？

1. 按照blade安全手册中防止sql注入，新增了blade-common-biz，然后将最新的类SqlKeyWord拷贝进去后，让其他的业务模块依赖

2. 调用localhost:8106/tenant/list?updatexml(1,concat(0x7e,version(),0x7e),1)=1 HTTP/1.1时发现并没有将updatexml过滤掉

3.debug时发现可以进入新的SqlKeyWord类中，但是在执行filter(k)前后发现k值没有变化，执行前后截图如下

关键词如下

二、你期待的结果是什么？实际看到的又是什么？

烦请帮忙看下是什么问题，正常应该是可以把关键词替换掉的，至少是可以把特殊符号换掉的，但是目前我的是没有变化，帮忙指导下是我哪里写的有问题

三、你正在使用的是什么产品，什么版本？在什么操作系统上？

四、请提供详细的错误堆栈信息，这很重要。

五、若有更多详细信息，请在下面提供。

2条回答