请选择 进入手机版 | 继续访问电脑版
设为首页收藏本站

jeesite

 找回密码
 精英
查看: 169|回复: 0

【jeesite之怎么把自己玩坏系列】二、$和#傻傻分不清

[复制链接]
来啊互相伤害啊 发表于 2016-12-25 16:40:25 | 显示全部楼层 |阅读模式
【jeesite之怎么把自己玩坏系列】二、$和#傻傻分不清
                在mybatis里面参数可以用两种方式传入,一个是常见的#{xxxx},这个在解析成SQL的时候会被当成一个参数执行,也就是说是安全的;
        但是还有一个${xxxx}这个就是输入注入写法,比如jeesite中比较多的有两个地方:
        一、page.orderBy 熟悉,由于需要传入  字段名称加排序 比如  login_name asc ;这属于SQL片段,如果用#是无法正常运行的。
        二、权限的注入
但是很多人不是很明确$的危害性,那么有兴趣的朋友可以做一个非常简单的尝试:
        在jeesite代码中的 testDataDao.xml里面
游客,如果您要查看本帖隐藏内容请回复

那么你就危险了。详情作死请看第三篇
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 精英

本版积分规则

QQ|手机版|小黑屋|Archiver|jeesite 官方论坛. ( 吉ICP备12004769号  

GMT+8, 2017-1-22 01:23 , Processed in 0.125000 second(s), 21 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表