sql注入漏洞升级问题

511599158 2024-08-15 11:02

1.82.6.0.RELEASEGreenwich.SR6Cairo-SR82.3.12.RELEASE2.1.21.81.8

• 

  511599158 (楼主)

  2024-08-20 15:52

  // 清除特殊字符
  	String cleaned = StringUtil.cleanIdentifier(param);

  这个方法找不到

  作者追问:2024-08-20 15:52

  低版本如果没有，可以看这里，复制一下这个方法：https://gitee.com/smallc/blade-tool/blob/master/blade-core-tool/src/main/java/org/springblade/core/tool/utils/StringUtil.java#L389

  
  

  回答: 2024-08-20 15:52

  所有查询都报 java.sql.SQLException: SQL keyword is empty!

  作者追问:2024-08-20 15:52

  你具体改了哪里，如果只是按照要求修改sqlKeyword是不会影响全局的

  回答: 2024-08-20 15:52

  1. {code: 500, success: false, data: {}, msg: "java.sql.SQLException: SQL keyword is empty!"}

  1. code: 500

  2. data: {}

  3. msg: "java.sql.SQLException: SQL keyword is empty!"

  4. success: false

  
  

  回答: 2024-08-20 15:52

  覆盖了

  SqlKeyword

  类,添加了

  cleanIdentifier

  其他都没改直接deploy上去了
  

  作者追问:2024-08-20 15:52

  覆盖了对应版本的blade-tool内的sqlKeyword么？其他什么都没动么？

  你打个断点来调试，具体调用的哪个接口，到哪一步报错的，sqlkeyword过滤后的参数又变成了什么。你要多提供点信息，不让没法帮你判断。

  作者追问:2024-08-20 15:52

  问问题要多提供点信息，不要让我来反问你要信息。

  你怎么修改的，改在哪里，调用的接口是什么，打断点到哪一步报的错。都截图发出来。

  回答: 2024-08-20 15:52

  UTF-8UTF-81.82.6.0.RELEASE6.4.22.3.12.RELEASEGreenwich.SR6Cairo-SR81.81.8

  只覆盖了附件中的类，这个直接是打包发流水了 没办法本地测试  包是直接打到私服上去的

  作者追问:2024-08-20 15:52

  需要本地源码模式启动调试，然后把结果告诉我们。如果你都不知道什么情况，我们也无法帮忙判断是哪里的问题呀

  回答: 2024-08-20 15:52

  框架是打到私服上去了，没办法打断点本地调试，我是直接用文档上的类覆盖掉mybatis里面的同名的类，能否有时间远程会议支持下
  1 讨论(2)

  查看其它2个回答
  发布评论:

  提交评论

  ---

  •  加载中...

验证码

 看不清?

提交回复