fcncdn / mybatisplustenantpluginsqlinjection-poc Goto Github PK

虽然开发者可能不修。但是这个漏洞只要被记录在CVE。一些对安全比较重视的公司会自己去防止漏洞被利用。

都说${}有漏洞，但是${}删了吗？有时候没办法确实需要前端传sql。所以还得留着。
但是框架也说了${}会被sql注入。请用#{}，那么我们在使用的时候除非需要，否则都会使用#{}

有人提醒漏洞，那我们使用的时候就会注意防止被人利用漏洞。那要是没人提醒呢？谁知道还要防止别人使用漏洞？所以提漏洞本身是一种需要被赞同的事。

https://gitee.com/dromara/stream-query/blob/main/stream-plugin/stream-plugin-mybatis-plus/src/main/java/org/dromara/streamquery/stream/plugin/mybatisplus/engine/interceptor/SqTenantLineInnerInterceptor.java

根据你这个原理，这个更有搞头，建议安排

租户条件不存在应该抛出异常，请不要误人子弟

照这样说 所有的 orm都会有这样的问题 如此得出结论 要么你没啥工作经验 要么根本没接触过业务 还有就是刷kpi

妙啊，那mybatis ${sql} 如果从外部传入，那还可以想查啥信息就查啥信息呢，建议也给mybatis提出一个漏洞可以执行任意SQL