1 SQL注入漏洞代码审计

单点漏洞代码审计首当其冲当然要先看SQL注入漏洞是否存在，全局搜索关键字$，并限定文件类型为.xml，发现sysDeptMapper.xml和sysUserMapper.xml有存在SQL注入的地方，如下图所示：

1.1 SQL注入漏洞代码审计1

单点漏洞代码审计首当其冲当然要先看SQL注入漏洞是否存在，全局搜索关键字$，并限定文件类型为.xml，发现sysDeptMapper.xml, 和sysUserMapper.xml`有存在SQL注入的地方，如下图所示：

点击进入SysRoleMapper.xml，SQL注入点在第58行，使用$直接拼接了参数，

查找哪里声明那个方法

点击selectRoleList，查看谁调用了它。最终来到SysRoleServiceImpl的实现层

进入SysRoleServiceImpl后，再回溯到SysRoleService层，可使用左侧快速跳转按钮。或者选中selectRoleList后使用快捷键ctrl+u，如下图所示：

点击select