关于SQL注入

caojun 剑童 2024-07-03 11:31

• 

  admin - BladeX作者

  2024-07-03 12:23

  这个只是sql操作报错返回的日志，不是sql注入。如果是sql注入，就会返回具体的数据了。

  [屏蔽日志详情返回]、[用户导出接口加权限]等其他功能优化，麻烦按照文档里的第四点和第七点操作下。

  作者追问:2024-07-03 13:51

  

  最后打的包 的确有这个类  可是不生效啊

  回答: 2024-07-03 13:57

   1. 这里找到对应版本的bladex-tool：https://center.javablade.com/blade/BladeX/releases?page=2

   2. 把最新的类覆盖到对应位置

   3. bladex-tool工程构架好之后，根目录执行 mvn clean install刷新依赖

   4. 启动工程检查

   5. 其他的安全注意点文档里提到的也都处理一遍

  
  

  作者追问:2024-07-03 14:00

  我直接在blade-common里改了啊
  0 讨论(0)
  评论:

  提交评论

  ---

  •  加载中...
• 

  caojun

  2024-07-03 13:12

  

  

  这种的不算SQL注入吗

  
  

  作者追问:2024-07-03 13:18

  找个工具类执行SqlKeyword.filter("updatexml") 查看返回结果，把这个类更新到bladex-tool本地执行mvn clean install刷新依赖再启动。 [屏蔽日志详情返回]、[用户导出接口加权限]等其他功能优化，麻烦按照文档里的第四点和第七点操作下。文档的几个注意点你都执行完了再操作试试

  作者追问:2024-07-03 13:33

  这是更新SqlKeyword后的结果，注入字段已经被清除了所有的特殊符号。这是别人的帖子，同样的文档，别人就可以成功，麻烦你再仔细过一遍：https://sns.bladex.cn/q-11877.html

  
  0 讨论(0)
  评论:

  提交评论

  ---

  •  加载中...

验证码

 看不清?

提交回复