本文介绍了在使用MyBatis过程中遇到的SQL注入问题及解决方案,详细解释了#和$符号的区别,并通过实例展示了如何避免SQL注入风险。
在使用mybatis 的时候,本来想测试#和 $ 两种去参数的方法,结果就报错了
根据网上的方法,去除引号之类的都不行
mapper 文件原始内容如下
修改后的mapper 文件如下
问题原因很明了,mapper 中使用了注释导致报错
在验证sql 注入的过程中,需要注意传入的参数最好是String 类型,否则会导致类型转换报错
正确示例如下
sql注入使用的 payload
http://localhost:8080/name?name=a%27%20or%20%271%27%20=%271
被url 编码了,看起来很乱,其实就是几个单引号
执行结果返回来所有揭露,sql注入成功
1013
1191
5990
336
1256
313
3万+
2652
2946
315
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
扫一扫
