【会议纪要】【Security sig例会】20250724

与会人：陈启军，李建峰，蒋宏博，陈晓滨，李华宝（邮储）

会议议题：

1、Mysql兼容模式下updatexml和extractvalue函数xpath注入问题评审（李华宝-邮储）

会议纪要

1、updatexml和extractvalue函数xpath注入的场景是应用端接收入参后，拼接完xpath传给数据库，因此应由应用端做入参校验，数据库端无法校验xpath本身是否有风险。需在openGauss官方资料中说明此场景，提示用户使用时注意有无xpath注入风险，并提供示例。