【发布时间】:2026-01-09 02:15:01
【问题描述】:
目前,我知道四种用hibernate做事务:
- 使用对象
- 使用 HQL
- 使用特定于数据库的 SQL
- 使用标准 (QBE)
嗯,关于它们对注射的抵抗力有多强,我认为这些是(如果我错了,请纠正我):
- 安全,因为内部 SQL 调用是参数化的。
- 如果查询是参数化的,则安全,否则不安全。
- 与 #2 相同,但不便携。
- 不安全?
我的问题是关于#4,Query by Example,因为我发现它也很容易受到攻击。示例:
Account a = new Account(); //POJO class
a.setId("1' OR '1'='1");
//s is a org.hibernate.Session instance
Criteria crit = s.createCriteria(Account.class);
crit.add(Example.create(a));
List results = crit.list(); //table dump!
sn-p 选择整个帐户表。有什么方法可以防止注射吗?怎么样?
注意:我使用的是 Hibernate 3.6.5 final,测试数据库是 HSQLDB。
更新:对我来说似乎也是一个错误,实际上可能与注入的 SQL 无关。尝试使用不存在的值设置 id 并返回所有行。尝试使用 '5'='5' 而不是 '1'='1' 进行注入,并且 5 不会传播到 SQL 调用。它一直使用 (1=1) 作为 where 子句。
更新 2:已解决。请参阅下面的答案。
【问题讨论】:
-
这对我来说似乎是一个错误。您可能应该将其发布到休眠状态。一般来说,HQL/SQL 参数化是可行的方法(恕我直言)。
-
@Adam Gent 我知道对 HQL 也可以这样做,但 QBE 不那么冗长,而且您不必检查您不感兴趣的字段的无效性。
-
我明白你的意思,但我仍然更喜欢 HQL,因为我习惯了 SQL,我使用的其他人也是如此(因此恕我直言)。
标签: java hibernate query-by-example