问题:SQL注入修改,历史代码全是${};无法修改的比如表名,列名,动态排序之类的不改,其他的都要修改完成
背景:新公司第一个任务就是SQL注入的修改,历史sql全部都是${},一个个调整不太合适只能批量修改。查了一下,基本分为 like '%${}%';= ${} ; in (${});to_char(${})之类的.需要注意的是每个都有可能有多种情况,比如 = ${} 有 =${} 和 = '${}'两种可能,in 有 in ${} ;in (${});in('${}')可能,主要是代码传递的时候,有些人只是在中间拼接了单引号,有些人两端都拼接了单引号,还有的人把括号也拼起来了。扫描出来是有1900多个问题,一个个解决也不太现实,只能批量修改
实现:利用idea的替换功能对数据批量替换,已in 为例,搜索in\s*\(\s*\$\{(.*?)}\s*\),替换成in
<foreach item="item" collection="$1.split(',')" open="(" separator="," close=")">
replace(#{item},'''')
</foreach>
注意需要勾选上正则匹配,in\s*\(\s*\$\{(.*?)}\s*\)表示in+任意空格+(+任意空格+${+匹配组+}+任意空格+),匹配组用()包起来,替换的时候可以用$1来获取这个值,需要多个匹配组的话,替换时依次$1,$2既可,传的参数再使用replace切掉单引号。这个确认过前后端交互不会有单引号,所有特殊字符都会被去掉。replace替换MySQL并不支持默认为空(截图当时是用的oracle测试,oracle不写的话默认转成空),所以要写成replace(#{},'''','')单引号转义要写两次,表示把字符串中的单引号改成空
这种基本就可以批量替换,还有要注意一点,sql标签有一个属性叫statementType配置成"STATEMENT"的时候代表不接收入参,这样的话把${}改成#{}会报错。去掉这个属性既可
2638
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
