zap扫描 提示出现sql注入
zap扫描 提示出现sql注入 我的一个登录接口提示存在sql注入 这里看到扫描工具的请求和回复 为什么他会说存在sql注入呢 这里返回的响应是邮箱不存在 为什么说存在sql注入可能呢这是我的sql 使用了#{ }
<select id="selectOneByEmail" resultMap="BaseResultMap">
select
<include refid="Base_Column_List"/>
from user
where
email = #{email,jdbcType=VARCHAR}
</select>
应该是误报了,你可以多加一些,它这里只查了5个ip的host_name,你给他加到100,查它个100个ip,看时间变化是不是也是非常巨大,UNION SELECT UTL_INADDR.get_host_name('10.0.0.100') FROM dual 交到漏洞提交平台看看能不能过审,或者去搜一下看看是不是nday,如果没搜到那应该就是个0day 实用了#{}预编译,没问题的,mybatis 从框架层面就解决了sql注入
页:
[1]