发表新帖
发表新帖

扫描SQL注入

Blade 未结
关注 举报
1 13
837750969@qq.co
837750969@qq.co 剑童 2小时前

一、该问题的重现步骤是什么?

扫描时出现sql注入问题。


二、你期待的结果是什么?实际看到的又是什么?

商业版,不应该出现sql注入问题。但是注入问题很多。


三、你正在使用的是什么产品,什么版本?在什么操作系统上?

3.1.0.RELEASE


四、请提供详细的错误堆栈信息,这很重要。

2d50ec28d78d15d3d803f6695258297b.png

${}部分可以传入表名称,字段名称等信息,导致被扫描出sql注入。

官方的类

SqlKeyword

主要是针对使用 Condition.getQueryWrapper,而自定义的mapper方法无法使用SqlKeyword。请问有什么解决方案么??

1条回答
  • admin - BladeX作者
    2小时前

    可以在controller、service层接受参数后,使用SqlKeyword.filter来过滤使用(使用前需要先下载最新版SqlKeyword来覆盖老版本,具体见:https://www.kancloud.cn/smallchill/blade-safety/3234106),举个简单例子如下

    CleanShot20241115181444@2x.png

    0 讨论(0)
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 物联网开发平台
热议问题
扫描SQL注入 1
如果想对某张mysql表,默认的情况下查询语句租户生效,但也希望某些查询该表的方法使得租户不生效 1
信创中间件适配。 1
blade 和 物联网合并后 任务管理请求500 是需要单独部署什么服务码 1
边缘计算mqtt监听会自动断开,不再监听,必须重新部署才会有数据 1
表单编辑最大值最小值编辑不了 1
改了模块名之后登录报用户不存在 2
使用AES报文加密,解密后的字段会缺失字段 1
blade_boot 4.2版本多数据源怎么配置 1
规则引擎 查看详情出不来 1
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2024 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号