【解决办法】支持在服务节点对应的配置文件中开启防止SQL注入,具体请前往iManager站点管理>GIS云套件站点,在服务列表中找到需要开启防止SQL注入的服务节点,在右侧的操作项中点击”编辑“,修改对应参数即可,相关参数说明如下:
ENABLE_SQL_FILTER #是否开启SQL注入检测,默认为false
QUERY_FILTER_ENABLED #设置是否启用SQL查询过滤,默认为false。启用后,将默认禁用常量表达式、常量等价表达式、常量IN表达式、常量恒成立表达式等四类表达式,另外还将默认禁用部分威胁字符,禁用的字符包括exec、insert、delete、update、join、union、master、truncate。除以上默认禁用的表达式和字符串外,您也可以通过 QUERY_FILTER_STRING参数设置其他需要在SQL查询中禁用的字符串。
QUERY_FILTER_STRING #设置SQL查询过滤的字符串,支持任意字符串(数据操作语言(DML)、表达式、通配符、特殊字符等),以分号隔开,如:设置 delete;SMID=. 。用户在进行data或map的SQL查询时,如果在SQL查询表达式中出现了 ‘delete或 SMID=任意值’ 字符串,系统会默认该条查询表达式非法并返回400参数异常,防止执行恶意的 SQL 命令,从而保护用户的数据安全。如果没有设置SQL查询过滤的字符串,在SQL查询表达式中系统会默认屏蔽掉分号。
