问题遇到的现象和发生背景
mybatis - sql注入疑惑
依赖:
- springboot
- mybatis
遇到的现象和发生背景,请写出第一个错误信息
- select * from test_sql ${sql}
- ${sql}
若满足以下前提条件的情况下,是否只有第二条sql才是真正意义上的sql注入?
1.配置文件的数据库连接url保证allowMutiQueries=false(即一条语句内不可以执行多条sql语句)
2.可以容忍表test_sql的全量查询
题主在满足上述前提条件的情况下对第一条sql进行注入,使其变成了如下sql
(1)select * from test_sql; truncate test_sql
(2)select * from test_sql; truncate test_sql;
执行出现如下报错:(题主爆炸注入形成的sql是正确的命令)
综上,若满足前提条件,是否第二条sql才是真正意义上的sql注入?