代码是别人写的,我只负责代码扫描漏洞修复
项目用的是myBatis-plus,部分业务无法使用框架提供的QueryWrapper来实现,因此在xml文件中手写的sql,
所以在代码扫描时报出Access Control: Database漏洞,
在网上找了一种方法是在mapper的namespace后面加后缀,项目运行时再去掉后缀来躲避扫描,
但是此方法导致QueryWrapper不能使用,调用接口时报错:无法找到selectList()方法(QueryWrapper提供的方法)
求解决方法,不修改原来业务逻辑(原业务逻辑不是我写的)并且代码修改量小(项目中此漏洞有800多个)
![](https://profile-avatar.csdnimg.cn/b06b44930aea4acc8daf1ab0ed7a1208_weixin_60413624.jpg!4)
Fortify漏洞:Access Control: Database修复
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
- 邀请回答
-
4条回答 默认 最新
- 嗷呜大嘴狼 2022-12-28 11:23关注
为了修复 Fortify 漏洞“Access Control: Database”,你可以考虑以下几种方法:
使用框架提供的查询条件工具类(如 mybatis-plus 的 QueryWrapper)来替代手写的 sql。这样可以保证在执行数据库查询时能够自动做到权限控制。
对手写的 sql 进行参数校验,确保在执行数据库查询时不会越过授权范围。可以使用常用的参数校验库(如 Apache Commons Validator)来实现。
在数据库中设置视图或存储过程来代替手写的 sql。这样可以在数据库层面对数据进行权限控制,避免漏洞的产生。
解决 无用评论 打赏 举报
悬赏问题
- ¥15 Qt4代码实现下面的界面
- ¥15 prism提示我reinstall prism 如何解决
- ¥15 asp.core 权限控制怎么做,需要控制到每个方法
- ¥20 while循环中OLED显示中断中的数据不正确
- ¥15 这个视频里的stm32f4代码是怎么写的
- ¥15 JNA调用DLL报堆栈溢出错误(0xC00000FD)
- ¥15 请教SGeMs软件的使用
- ¥15 自己用vb.net编写了一个dll文件,如何只给授权的用户使用这个dll文件进行打包编译,未授权用户不能进行打包编译操作?
- ¥50 深度学习运行代码直接中断
- ¥20 需要完整的共散射点成像代码