SQL注入的问题

cj120435462 · 发表于 2017-4-10 11:15:00

jishuang 发表于 2017-4-10 10:51
filter只是对queryaction查询用的，
saveAction中没有filter参数

就是说黑客即使拦截了数据包，修改了sql语句（比如 or 1=1），也只能做数据查询而已？

jishuang · 发表于 2017-4-10 13:52:05

如果是设置的filter，就只能查询数据的queryAction才会处理filter参数

cj120435462 · 发表于 2017-4-11 15:10:04

jishuang 发表于 2017-4-7 14:58
可以自己通过扩展空间修改平台的标准queryAction，自己处理filter参数

看来必须这么改了：怎么修改平台的标准queryAction呢？

jishuang · 发表于 2017-4-11 16:39:33

cj120435462 · 发表于 2017-4-12 08:40:50

jishuang 发表于 2017-4-11 16:39
http://www.wex5.com/portfolio-items/5-%E6%A0%87%E5%87%86%E5%8A%A8%E4%BD%9C%E6%89%A9%E5%B1%95/

可否把queryAction的filter全部改为用condition的方式呢？

jishuang · 发表于 2017-4-12 10:06:08

condition只能在后端定义
filter是前端传的参数，改为condition的方式就是前面说的啊，自己前端传一个参数，后端自己判断然后拼接不同的where条件

cj120435462 · 发表于 2017-4-12 14:35:51

jishuang 发表于 2017-4-12 10:06
condition只能在后端定义
filter是前端传的参数，改为condition的方式就是前面说的啊，自己前端传一个参数 ...

这个condition是如何使用的呢（demo去哪儿找）？就是在action的ksql编辑界面定义查询参数，然后在ui层对参数赋值是吧？那把filter全部改造为condition的方式不就行了？这样sql不就在服务器端拼接了？

jishuang · 发表于 2017-4-12 15:46:11

condition是不同提供过前端传的

filter是需要前端传的

condition就是直接获取里面的内容拼接的where条件

cj120435462 · 发表于 2017-4-12 15:56:15

jishuang 发表于 2017-4-12 15:46
condition是不同提供过前端传的

filter是需要前端传的

是啊，我就把参数传给他，让他在后台拼接后刷新数据，这样客户端就不用组装sql语句，就没有安全问题了呗

jishuang · 发表于 2017-4-12 16:35:19

那不是就前面说的自己重写filter参数吗

		自动登录	找回密码
密码			注册

[结贴] SQL注入的问题