javaweb代码审计之注入审计
PreparedStatment就是采用占位符的方式,插入参数,这种方式会给参数带上引号,导致order by语句失效,同时order by语句需要字符拼接的方式进行语句调用。Javaweb中jsp文件常用el表达式,用于用户访问页面的上下文以及不同作用域的对象,取得对象属性值或者执行简单的操作,调用Java方法,获取 web对象等。因为order by后面的传入的数据不能加上引号,否则会被当成字符串,导致无法使用,而。利用java的反射机制,将用户输入的数据作为代码执行,java中反射可以动态编译运行。
原创
2023-08-05 23:03:25 ·
114 阅读 ·
1 评论