简介
软件代码审计是对软件解决方案或产品中的源代码的全面分析。它被认为是安全过程中最关键的阶段之一,因为它用于验证代码的成熟度和可维护性,同时确保产品已准备好进行无缝切换。
一: sql注入
关键词:crrateQuery(),statement
审计方法
是否存在直接拼接可控参数
后方是否使用了预编译(setString方法)
在MyBatis中搜索$(在xml文件中
定位selectDeptList,ctrl+左键
随便选一个
来到serveice层,根据注释和代码发现,第一处是查询部门数据,也知道是在部门管理的功能处