JAVA SQL注入漏洞挖掘

java中sql注入主要发生在model层，黑盒测试sql注入的方法结合两点：1，异常注入后，界面有无明显的aql异常报出。2，查看数据库日志是否有脏数据注入。

preparestatement方法是预编译方法，对拼接的sql语句没用。不能采用预编译的点：SELECT id,path FROM wp_picture WHERE id=? ORDER BY?

容易忽视的点 HTTP头部参数：

• 业务逻辑代码常为登录处，通过request.getHeader('X-Forwareded-For')获取ip地址后将ip插入数据库中，当做登录记录。此处除了因拼接造成的sql注入外，还会经常造成存储型XSS。