考虑类似这样的代码:
String orderBy = getParameter("orderBy");
String orderDir = getOrderDir(); // returns "asc" or "desc"
String query = "from User order by " + orderBy + " " + orderDir;
该查询用作 JPA 查询(而不是本机查询)。 考虑到 JPQL 的限制,参数
orderBy
使用什么值会造成任何实际危害,而不仅仅是错误查询引起的异常?
JPQL 不允许
union
或注释 (--),所以我不知道如何/是否会对系统造成任何损害。
我确实知道这个问题需要修复,但我想知道这个漏洞实际上有多危险。