mcms

# 前言 SQL注入漏洞作为WEB安全的最常见的漏洞之一，在java中随着预编译与各种ORM框架的使用，注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧，不知如何下手，希望通过Mybatis框架使用不当导致的SQL注入问题为例，能够抛砖引玉给新手一些思路。 一、Mybatis的SQL注入 Mybatis的SQL语句可以基于注解的方式写在类方法上面，更多的是以xml的方式写到xml文件。Mybatis中SQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时，MyBatis支持两种参数符号，一种是#，另一种是$。比如： Select * from news where title like ‘% #{title}%’br #使用预编译，$使用拼接SQL。 Mybatis框架下易产生SQL注入漏洞的情况主要分为以下三种： 1、模糊查询 select * from news where tile like concat(‘%’, #{title}, ‘%’)br 在这种情况下使用#程序会报错，新手程序员就把#号改成了$,这样如果java代码层面没有对用户输入的内容做处理势必会产生SQL注入漏洞。 正确写法： select * from news where tile like concat(‘%’, #{title}, ‘%’

启动应用时标明语言和国别 java -Duser.language=zh -Duser.country=CN -jar ms-mcms.jar 来源： oschina 链接： https://my.oschina.net/u/876732/blog/4280506

数据库标签表增加属性 tagid=4的栏目标签26行增加path输出 category_path as path, 服务端标签增加 [field.path/] {ms:channel typeid='' type=son ref=one} <li class="nav-list" path="[field.path/]"> <span class="iconfont [field.typekeyword/]"></span> <a href="{ms:global.url/}[field.typelink/]">[field.typetitle/]</a> <ul> {ms:channel refs=one ref=two} <li><a href="{ms:global.url/}[field.typelink/]">[field.typetitle/]</a></li> {/ms:channel} </ul> </li> {/ms:channel} js控制样式 <script> $(function () { var r=location.href; $(".nav-list").removeClass("active"); var isIndex=true; $(".nav-list").each(function (index,item) { var _this=$

发现在数据库改标签比较麻烦，就在前台模板实现了，通过js跳转。 <script> {ms:channel type=self} if("[field.typeurl/]"!=""){ //栏目自定义链接 window.location.href="[field.typeurl/]"; } {/ms:channel} </script> 来源： oschina 链接： https://my.oschina.net/u/876732/blog/4280489

个人博客 地址:https://www.wenhaofan.com/article/20190610145529 介绍 MCMS提供的模板大多数都使用的是4.6版本的标签，但是现在MCMS最新的已经是4.7了，然而4.7并不能向下兼容4.6，所以在4.7的MCMS中使用4.6的模板需要处理其中的旧版本标签，为了方便以及复用，想到了使用正则表达式解析、替换标签将4.6模板一键升级至4.7，代码如下 代码 下载 http://qiniu.wenhaofan.com/UpgradeTag.java