摘要:
在 MyBatis 等框架中,常见的两种占位符形式为 #{} 和 ${}。两者的差别主要在于它们处理传入参数的方式,从而直接影响了 SQL 注入风险。以下是详细说明: 1. 占位符工作机制 #{} 占位符 比如,在 MyBatis 中,使用#{}占位符来代替直接拼接 SQL 语句,MyBatis 会 阅读全文
posted @ 2025-04-19 20:18
kuki'
阅读(48)
评论(0)
推荐(0)
摘要:
字段映射逻辑是指 在后端预先定义一个“白名单”或映射表, 将前端传入的字段名称与实际数据库中的字段名称建立安全且固定的对应关系, 而不是将前端传入的原始字符串直接拼接到 SQL 语句中,从而避免 SQL 注入漏洞。 1. 问题背景 通常,数据库的字段名称应由后端来控制,保证只能操作预定义的字段。若前 阅读全文
posted @ 2025-04-19 18:42
kuki'
阅读(61)
评论(0)
推荐(0)
摘要:
SQL 注入漏洞 的定义 如果ORM框架在执行SQL操作时没有正确过滤或转义用户输入, 攻击者可以利用输入的恶意数据来执行未经授权的数据库操作,从而造成数据泄露、损坏或篡改。 什么情况下会引起 SQL 注入攻击呢?通常是在以下情况: 表结构部分:通常包含表字段、表名等固定内容。 表字段参数/变量部分 阅读全文
posted @ 2025-04-19 10:36
kuki'
阅读(24)
评论(0)
推荐(0)
浙公网安备 33010602011771号