我这边有通过系统导入excel,然后创建表的功能,发现可能在表、字段的注释上传入一些其他字符,mybatis中,comment语法没法用${},会有sql注入的问题么,如果有的话我能否使用存储过程来执行comment语法,这样会有sql注入么,或者有没有其他办法,只能java端对参数做校验了么
SQL注入漏洞的产生需要满足以下两个条件:1.参数用户可控:前端传给后端的参数内容是用户可以控制的。2.参数带入数据库查询:传入的参数拼接到SQL语句,且带入参数库查询。你可以通过限制两点规避一下
SQL注入漏洞的产生需要满足以下两个条件:1.参数用户可控:前端传给后端的参数内容是用户可以控制的。2.参数带入数据库查询:传入的参数拼接到SQL语句,且带入参数库查询。你可以通过限制两点规避一下