struts2漏洞struts2防止sql注入

metasploit 哪个模块验证struts2远程代码执行漏洞

这次struts2官方一共发了两个漏洞，还有个叫s2-012，但是这个漏洞，看题目，应该是我之前在《Xcon2012 攻击JAVA WEB》时的已经爆出来了，所以本文只说另一个。

struts2官方的开发傻乎乎的，比如这个漏洞，要么官方就不要发出来，既然发出来了，就应该发补丁，但是官方仅仅发了这段话，对于详细内容，普通用户不开放访问。

修复 struts2 漏洞以后，页面标签报错

写个Interceptor,过滤掉这些恶意请求就行了,这样你就可以换回以前的jar包,应该就可以解决你的问题 String hacker=ServletActionContext.getRequest().getQueryString(); String resultstr = "ess"; if(hacker.indexOf("action:%{")>-1||hacker.indexOf("redirect:%{")>-1||hacker.indexOf("redirectAction:%{")>-1){ invocation.getInvocationContext().getValueStack().set( "message", "You are a hacker?"); return Action.ERROR; }

Struts2过时了么，被什么取代了

struts2没有过时，struts2是一个比较成熟的MVC框架了，插拔式的拦截器机制，功能相当多，不过在2012年出现两个安全漏洞，影响的版本Struts 2.0.0 – Struts 2.3.15的 Struts2 全系版本，虽然struts2已经把漏洞给补上了，但是在人们的心中还是留下了阴影，所以越来越多的人不在应用struts2框架，而改成用SpringMVC框架。

struts2防止sql注入

struts2不涉及sql，要防止sql注入，只需要你在持久层创建Statement对象时，调用Connection对象的prepareStatement方法创建出PreparedStatement对象，用该对象来发送sql语句即可。

该对象发送的sql是预编译的，所以可以防止sql注入。

另外如果你用了Hibernate或者ibatis的话，就不用纠结这个问题了