【解决办法】找到iserver安装目录webappsiserverWEB-INF,打开下面的iserver-system.xml文件,找到标签,其下标签:设置是否启用 SQL 查询过滤,默认为 false。当 enabled 为 true,将默认禁用常量表达式、常量等价表达式、常量 IN 表达式、常量恒成立表达式等四类表达式,另外还将默认禁用部分威胁字符,禁用的字符包括 exec、insert、delete、update、join、union、master、truncate。除以上默认禁用的表达式和字符串外,您也可以通过 filterString 参数设置其他需要在 SQL 查询中禁用的字符串。
:设置 SQL 查询过滤的字符串,支持任意字符串(数据操作语言(DML)、表达式、通配符、特殊字符等),以分号隔开,如:设置 delete;SMID=. 。用户在进行 data 或 map 的 SQL 查询时,如果在 SQL 查询表达式中出现了 ‘delete 或 SMID=任意值’ 字符串,系统会默认该条查询表达式非法并返回400参数异常,防止执行恶意的 SQL 命令,从而保护用户的数据安全。如果没有设置 SQL 查询过滤的字符串,在 SQL 查询表达式中系统会默认屏蔽掉分号。该配置项保存即可生效,无需重启 iServer
