Re: 使用mybatis就不会有注入漏洞么？

水木社区手机版

展开|楼主|同主题展开|溯源|返回

上一篇|下一篇|同主题上篇|同主题下篇

主题:Re: 使用mybatis就不会有注入漏洞么？
z16166|2021-04-26 11:08:15|
对啊，如果最终传给Prepared Statement的createStatement()的语句也是用用户输入拼出来的话，
即使是用了Prepared Statement，也救不了。

典型误用：
PreparedStatement stmt = conn.createStatement("INSERT INTO students VALUES('" + user + "')");
stmt.execute();

user的值为：
Sam'); DROP TABLE students;--

【在 canper 的大作中提到: 】
: 别说#$点问题了，用了mybatis还拼sql的也大把
--
修改:z16166 FROM 123.118.64.*
FROM 123.118.64.*

上一篇|下一篇|同主题上篇|同主题下篇

BYR-Team©2010. KBS Dev-Team©2011 登录完整版