SQL Injection - MyBatis框架 漏洞案例

SQLI(SQL Injection), SQL注入是因为程序未能正确对用户的输入进行检查,将用户的输入以拼接的方式带入SQL语句,导致了SQL注入的产生。攻击者可通过SQL注入直接获取数据库信息,造成信息泄漏。
MyBatis框架底层已经实现了对SQL注入的防御,但存在使用不当的情况下,仍然存在SQL注入的风险。

运行
漏洞代码 - order by 注入


漏洞代码 - 搜索框注入
运行
安全代码 - 排序映射


运行
安全代码 - 强制类型


运行
安全代码 - #{}