问题:sql注入被工信部通报,我们查询接口发现是一个拼接sql,项目有很老的历史,致命缺点:版本未管理,没有线上的最新代码。
架构:tomcat+mysql+spring
解决措施:添加sql注入拦截器。替换线上的class文件。
测试工具:sqlmap。
坑1:tomcat服务器存在缓存,无法更新最新的class文件。https://blog.csdn.net/nlznlz/article/details/77623379
2:sqlmap自带缓存。
缓存未刷新,导致无法获取最新数据。