New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
[CVE-2022-45207]这里有几处没有换成预编译,但个人建议修复 #4127
Comments
|
这里面有一些是必须这么写的,比如字典动态查询,虽然写法存在漏洞安全。我们在方法调用的地方已经加入了checksql注入逻辑。 |
|
您好,我理解你的考虑,所以最开始我以为单纯是预编译问题,直到看到了in ()这种,但您看我其他的一个issuse,您的checksql可以被easy bypass,然后我也提供了修复建议,希望可以采纳
这个issuse里面的几个sql因为我看到有x-sign的check,我暂时不知道怎么构造,所以我就没有poc,只是单纯提出来,希望可以帮助到您
…---原始邮件---
发件人: ***@***.***>
发送时间: 2022年10月30日(周日) 中午11:45
收件人: ***@***.***>;
抄送: ***@***.******@***.***>;
主题: Re: [jeecgboot/jeecg-boot] 这里有几处没有换成预编译,但个人建议修复 (Issue #4127)
这里面有一些是必须这么写的,比如字典动态查询,虽然写法存在漏洞安全。我们在方法调用的地方已经加入了checksql注入逻辑。
针对一些可以优化的我们会处理
—
Reply to this email directly, view it on GitHub, or unsubscribe.
You are receiving this because you authored the thread.Message ID: ***@***.***>
|
|
updateNullByEmptyString |
|
okok,了解嘞 |
|
可以改的,已经提交 |
XKC1025
pushed a commit
to XKC1025/jeecg-boot
that referenced
this issue
Mar 13, 2023
XKC1025
pushed a commit
to XKC1025/jeecg-boot
that referenced
this issue
Mar 13, 2023
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment

java提供了原生的预编译sql语句,这样可以防止sql注入问题
queryListWithPermission
下图没有进行预编译处理,建议换成#{},虽然项目现在没有使用这条语句,但不排除以后的可能,建议修复

updateNullByEmptyString
下图也使用的是${}


但实际上是写死的,但为了安全考虑,建议也换乘#{}
selectLogicDeleted
这里也建议换乘#{}

queryFilterTableDictInfo
queryTableDictItemsByCodeAndFilter
queryTableDictTextByKey
queryTreeList
queryTableDictWithFilter
queryAllTableDictItems
queryTableDictByKeysAndFilterSql
The text was updated successfully, but these errors were encountered: