我所服务的客户拥有庞大的遗留代码库,其中包含各种基于 Java 和 JSP 的应用程序。
大多数查询是使用自制的“orm”系统完成的。某些应用程序使用普通旧式 JDBC。一些应用程序基于 Hibernate(是的,带有加号的 HQL 构建也是一个潜在的问题)。一些较旧的应用程序完全用 JSP 编写。
我手动发现了几个 SQL 注入(inject)错误。但我确实可以使用某种工具来寻找潜在的弱点。
有什么想法吗?
最佳答案
我会推荐FindBugs (还有一个 eclipse 插件)它可以追踪这些问题以及更多问题。
我们在工作中使用它,它速度快而且物有所值(免费)。我们在它的帮助下解决了一些常见问题。
关于java - 查找 Java/JSP 代码中潜在的 SQL 注入(inject)问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/116415/