BraveXaiver 最近的时间轴更新
BraveXaiver

BraveXaiver

V2EX 第 590512 号会员,加入于 2022-08-06 09:11:13 +08:00
今日活跃度排名 24221
根据 BraveXaiver 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
BraveXaiver 最近回复了
@cslive hmm 所以你同意, 如果官方在文档中强调一下用户需要对用作列名参数的值做检查(就像 mybatis 那样强调),那么便不存在问题吗?
@qq135449773 #9

这篇后记的语气也真傲慢,或者说双标。

引用其原文:

Mybatis 的${}问题(他们好爱拿这个来举例子)。"外部数据传入 Mybatis ${} 可以造成 SQL 注入" - 这是一个已知的问题(漏洞)。一个应用因为外部不可控参数传入${}并导致 SQL 注入,我们不会去找 Mybatis 给他们提报漏洞(因为对于官方来说,这是一个已知的问题(漏洞),官方给了足够的说明、警告、风险提醒、适用场景以及替代方案),我们会直接找这个应用去提报漏洞

但是对于 MybatisPlus 来说,几乎没有人知道在使用这个框架的时候要怎么避免 SQL 注入(要不是看了源码,我也不会知道他们什么都不处理就直接做字段拼接),两者根本没有可比性

然而, 至少今天,不需要查看 MP 的源码,MP 的官方文档: https://baomidou.com/reference/about-cve/

已经强调:

该“漏洞”也是前端端传入 SQL 片段 导致 SQL 注入攻击。框架 QueryWrapper UpdateWrapper 字段部分是允许子查询的因此不能人为允许前端传入 SQL 片段。

如果使用者有这种需求,可以使用 SqlInjectionUtils.check(内容) 或 xxWrapper.checkSqlInjection() 方法来检查,如果检查通过,则不会抛出异常。

框架也提供了非常严格的条件构造器 LambdaQueryWrapper LambdaUpdateWrapper 推荐使用。
@leaflxh
@L0L
是的,我也同意这种写法不好。如果开发者这么写了,代码质量分析工具报问题,我没意见。但不应该视作对 mybatis-plus 这个库本身的 CVE issue 。如果视作,那么 mybatis 也应当适用此 CVE issue 。
@ZZ74
@henix 嗯,确实说少了。我是说那种需要双向 SSL 验证的 API 。
@gam2046 我刚试了下,onenote 登录错误 error code 0xE0001075 ,搜索解决方式然后验证发现我的 onedrive 被冻结了。。感觉它不欢迎我
@gam2046
@saranz
onenote 在国内不太好用吧,同步方面,有改善吗? clash 开系统代理能解决吗
86 天前
回复了 565656 创建的主题 问与答 日经贴,周末无聊怎么办
@565656 #4
我有一个朋友 QAQ
95 天前
回复了 YongXMan 创建的主题 Terminal 求推荐 Windows 下好用的 terminal
windterm +1
@puzzleperson 不是第三方是我自己开发但是没和项目锁在一起不算第一方的意思么 有啥思路不
题主现在有结论了不?可以 append 一下吗?
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1333 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 12ms · UTC 17:26 · PVG 01:26 · LAX 10:26 · JFK 13:26
Developed with CodeLauncher
♥ Do have faith in what you're doing.