通过AppScan扫描某个项目生成报告如下

但是仔细看了说明，发现都无法解决，理由如下，供大家参考

关于高中等级的漏洞说明

1. 【高】 Blind SQL 注入（基于时间）

结论：非漏洞，无需处理

解释：在参数中拼接sql命令，之所以返回200，是因为我们只是当它为普通字符串参数，不会当成实际 SQL 一部分，后台用的 mybatis 的 #{xxx} 可以避免 SQL 注入风险

2. 【高】 Oracle Application Server PL/SQL 未授权的 SQL 查询执行 1

结论：非漏洞，无需处理

解释：在URL后面拼接不存在路径，之所以没有报404，是因为我们框架封装的，捕获了异常，统一返回 code、data、msg 的 json 结构，状态码都是 200，接口调用成功失败通过 code 来区分

3. 【高】 SQL 注入文件写入（需要用户验证）

结论：非漏洞，无需处理

解释：通过修改js脚本传一些其他参数进来，并不影响后台系统，后台只会接收预先设定的参数，而且后台对数据操作会有判断，如判断数据是否存在，登录用户是否能操作该数据等业务逻辑

4. 【高】 盲参数系统调用代码注入 

结论：非漏洞，无需处理

解释：与1同理，在参数中拼接linux等操作系统命令，并不会真正执行该命令，只是当成普通字符串参数

5. 【高】 跨站点脚本编制 

结论：非漏洞，无需处理

解释：在网页中嵌入js脚本，伪造用户登录是不可能的，因为我们识别用户是根据Cookie里的Admin-Token，Admin-Token为 Java Web Token 格式的，是无法伪造的

6. 【中】 跨站点请求伪造

结论：非漏洞，无需处理

解释：通过在请求头伪造Referer对我们系统并不会有影响，其无法模拟合法用户