SQL注入的问题

cj120435462

     你好，目前情况是这样的，因为我们的sql语句是在数据包里面组装完成后，整个丢给服务器去执行，这样，黑客可以构造任何sql语句然后丢给服务器去执行，造成较大的安全隐患。比如他可以查询所有数据，删除数据，甚至删除整个数据库，都可以做到。

jishuang

1.如果是传输过程中的可以把runtime\UIServer\WEB-INF\justep.xml中的
<request-use-base64>false</request-use-base64>
改为
<request-use-base64>true</request-use-base64>

2.如果是js中的，那就应该尽量避免在js中设置过滤条件，可以自己重写queryAction，把filter参数去掉，自己用一个参数接收自己个前端传递的参数，自己判断参数值在后端拼接不同的where条件

cj120435462

jishuang 发表于 2017-4-6 11:43
1.如果是传输过程中的可以把runtime\UIServer\WEB-INF\justep.xml中的
false
改为

1.如果是传输过程中的可以把runtime\UIServer\WEB-INF\justep.xml中的
<request-use-base64>false</request-use-base64>
改为
<request-use-base64>true</request-use-base64>
不能对js的代码进行加密？可以用别的加密算法吗？

jishuang

平台没有对js加密的，可以自己实现，前端加密，后端重新queryAction，获取到加密的数据自己解密再拼接

cj120435462

jishuang 发表于 2017-4-7 11:14
平台没有对js加密的，可以自己实现，前端加密，后端重新queryAction，获取到加密的数据自己解密再拼接 ...

这个filter功能我们大部分页面都用的，如果要这样改造，工作量奇大无比啊

jishuang

可以自己通过扩展空间修改平台的标准queryAction，自己处理filter参数

cj120435462

jishuang 发表于 2017-4-7 14:58
可以自己通过扩展空间修改平台的标准queryAction，自己处理filter参数

工作量好大，几乎无解呢

cj120435462

cj120435462 发表于 2017-4-10 08:50
工作量好大，几乎无解呢

是不是只有用到filter函数的queryaction，才是在客户端组装的呢？而且只能接收queryaction呢？
我的意思实说是不是没办法通过修改数据包的方式来删除数据或者删库？

cj120435462

cj120435462 发表于 2017-4-10 08:55
是不是只有用到filter函数的queryaction，才是在客户端组装的呢？而且只能接收queryaction呢？
我的意思 ...

只有用到filter的queryaction才是客户端可见的，是不是他也只能提交queryaction，不能提交saveaction和deleteaction呢？

jishuang

filter只是对queryaction查询用的，
saveAction中没有filter参数