Hibernate 命名查询和 Spring Data SQL 注入

【问题标题】:Hibernate Named Query and Spring Data SQL injectionHibernate 命名查询和 Spring Data SQL 注入
【发布时间】:2015-09-03 20:27:35
【问题描述】:

我想在我的应用中添加自动完成搜索功能。对于这个特性,我使用了 NamedQuery("userSuggest")。在 JpaRepository 中,我定义了一个带有一个参数的方法(“userSuggest”)。 这是我的代码:

@Entity
@NamedQueries({
        @NamedQuery(name = "User.userSuggest", query = "select u from User u where u.userName like :userName") })
public class User implements java.io.Serializable {

    private Integer userId;
    private String userName;

    setter and getter ...
}


 @Repository("userRepository")
    public interface UserRepository extends JpaRepository<User, Integer> {
        List<Gene> userSuggest(@Param("userName") String userName);
    }

我通过传递用户输入数据+百分号作为参数来调用这个方法:

userRepository.userSuggest(userInpoutData + "%");

现在的问题: 当用户传递“%”(userInpoutData="%")时,该方法返回数据库中的所有现有用户。如何防止这种 SQL 注入? 我知道使用 entityManager.createNamedQuery(like How To Fix SQL Injection: JPA) 可以解决这个问题,但我不知道如何将它与 Spring JpaRepository 一起使用。 谢谢。

【问题讨论】:

    标签: hibernate jpa spring-data spring-data-jpa named-query


    【解决方案1】:

    这不是 SQL 注入。正因为如此:

    userRepository.userSuggest(userInpoutData + "%");

    所以你得到:

    %%

    试试这个:

    if (!userInpoutData.isEmpty() && !userInpoutData.equals("%") {
    userRepository.userSuggest(userInpoutData + "%");
}

    【讨论】:

    • 我假设这是一个 sql 注入,所以要解决这个问题,我必须是 scape 通配符。谢谢
    猜你喜欢
    • 2013-10-17
    • 1970-01-01
    • 2023-04-10
    • 2014-03-05
    • 2023-03-27
    • 1970-01-01
    • 1970-01-01
    • 2015-08-24
    • 2019-03-10
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode