safe-mode
# 全局安全模式
开启后可以检测租户插件和
LambdaQueryWrapper 使用中可能出现的sql注入` 关于MybatisPlus使用的安全漏洞说明 (opens new window)
# 配置
在application.yml引入safe-mode配置项,on为开启,off为关闭
stream-query:
mybatis-plus:
safe-mode: on
# 租户插件
为了防止租户id可能引发的sql注入问题,在开启safe-mode后,请使用SqTenantLineInnerInterceptor替换MybatisPlus的租户插件。
报错提示如下:
SQL Injection attempt detected in 'TenantLineInnerInterceptor
# LambdaQueryWrapper
请在开启safe-mode后,使用QueryCondition来取代原先的LambdaQueryWrapper,条件拼接方法是一样的。QueryCondition同时还支持TypeHandler。具体使用QueryCondition
报错提示如下
SQL Injection attempt detected in 'apply'
# 测试用例地址
safe-mode-wrapper (opens new window) safe-mode-Tenant (opens new window)
上次更新: 2024/03/29, 09:17:32