Hibernate Criteria Api 是否完全防止 SQL 注入

【问题标题】:Does Hibernate Criteria Api completely protect from SQL InjectionHibernate Criteria Api 是否完全防止 SQL 注入
【发布时间】:2013-02-10 12:48:48
【问题描述】:

我正在使用 Hibernate 来保护我的网站免受 SQL 注入。

听说 Hibernate Criteria API 比 HQL 更强大。 Hibernate Criteria Api 是否完全防止 SQL 注入?

【问题讨论】:

    标签: java hibernate sql-injection criteria-api hibernate-criteria


    【解决方案1】:

    是的,确实如此。

    Criteria API 以及 HQL 或 JPQL 中的查询参数都对参数进行了转义,并且不会执行恶意 SQL。

    仅当您简单地将参数连接到查询中时,才会暴露该漏洞。然后任何恶意 SQL 都会成为您查询的一部分。

    编辑 OWASP 具有SQL injection prevention cheatsheet。使用条件查询相当于防御选项 1:使用准备好的语句。

    【讨论】:

    • 结论是什么。标准 API 是否完全保护我的网站免受 SQL 注入?
    • @яєηנιтн.я 抱歉听起来没有定论。是的,确实如此。
    • @яєηנιтн。结论是:不要连接 String 来创建您的查询。使用 API。
    • kostja, Ralf Hoppen:感谢宝贵的 cmets
    • 看来HQL容易出现HQL注入,和SQL注入一样不安全。 dineshonjava.com/hibernate/…
    猜你喜欢
    • 2017-09-02
    • 2011-06-04
    • 2015-09-27
    • 1970-01-01
    • 1970-01-01
    • 2010-12-20
    • 2021-10-06
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode