会员
周边
众包
新闻
博问
闪存
赞助商
Chat2DB
所有博客
当前博客
我的博客
我的园子
账号设置
会员中心
简洁模式
...
退出登录
注册
登录
微信搜:苏三说技术
关注我的同名公众号:【苏三说技术】,回复:进大厂,免费领取10万字的面试宝典。 推荐一个宝藏八股文网站:www.susan.net.cn
博客园
首页
新随笔
联系
订阅
管理
02 2021 档案
卧槽,sql注入竟然把我们的系统搞挂了
摘要:前言 最近我在整理安全漏洞相关问题,准备在公司做一次分享。恰好,这段时间团队发现了一个sql注入漏洞:在一个公共的分页功能中,排序字段作为入参,前端页面可以自定义。在分页sql的mybatis mapper.xml中,order by字段后面使用$符号动态接收计算后的排序参数,这样可以实现动态排序的
阅读全文
posted @
2021-02-15 12:17
苏三说技术
阅读(902)
评论(7)
推荐(6)
编辑
公告
点击右上角即可分享