EntityManager 创建本机查询与持久化和注入

【问题标题】:EntityManager create native query vs persist and injectionsEntityManager 创建本机查询与持久化和注入
【发布时间】:2026-01-18 14:30:01
【问题描述】:

createNativeQuery() 是否可以安全地防止 SQL 注入:

@ManagedBean
@ViewScoped
public class UserController {

    @PersistenceContext
    private EntityManager em;

    public User register(User u) {
        Query query = em.createNativeQuery("SELECT r1_register(?,?,?,?,?,?,?)");
        short i = 0;
        query.setParameter(++i, u.getUsername());
        query.setParameter(++i, u.getPassword());
        query.setParameter(++i, u.getName());
        query.setParameter(++i, u.getSurname());
        query.setParameter(++i, u.getEmail());
        query.setParameter(++i, u.getBirthdate());
        query.setParameter(++i, u.getPhoneNumber());
        int id = (int) query.getSingleResult();
        if (id != 0) u.setIduser(id);
        return u;
    }
}

r1_register 是一个存储函数,它执行 INSERT 并返回新插入用户的 id。这是否等效:

public User register(User u) {
    em.persist(u);
    // get the last inserted id (user id must be @Generated)
    em.flush(); // user id set here
    return u;
}

u 在这两种情况下都由用户填写。最后是默认发起的事务吗?

编辑:例程:

CREATE DEFINER=`root`@`localhost` FUNCTION `r1_register`(username VARCHAR(45),
                _password VARCHAR(45),
                _name VARCHAR(45),
                surname VARCHAR(45),
                _email VARCHAR(45),
                _birthdate DATE,
                phone_number VARCHAR(10) ) RETURNS int(11)
BEGIN
-- Adds a new user.
    -- START TRANSACTION; -- Begin a transaction -- NOT ALLOWED
    -- http://*.com/questions/16969875/
    IF r1_check_unique_username(username)=0 THEN
        RETURN 0;
    END IF;
    INSERT IGNORE INTO `hw1_db`.`users` (`username`, `password`, `name`, `surname`, `email`, `birthdate`, `phone_number`)
        VALUES (username, _password, _name, surname, _email, _birthdate, phone_number);
    -- see: http://*.com/a/5939840/281545
    -- The drawback to this approach is that you cannot go back and use
    -- ids wasted because of failed attempts to INSERT IGNORE in the event
    -- of a duplicate key. Shouldn't be a problem for us as we check.
    -- /Transaction
    -- IF ROW_COUNT() > 0 THEN
    -- ROW_COUNT() returns the number of rows updated/inserted/deleted
    --  COMMIT; -- Finalize the transaction
    -- ELSE
    --  ROLLBACK; -- Revert all changes made before the transaction began
    -- END IF;
    RETURN LAST_INSERT_ID();
END

【问题讨论】:

  • 一般情况下,参数化 SQL 构造(例如 PreparedStatement)默认转义特殊字符,这样可以防止普通 SQL 注入
  • @kolossus: 是的,我问的是 JPA api - 例如 persist(Entity e) 在内部转义它持续存在的实体的字符串字段

标签: jpa ejb sql-injection entitymanager


【解决方案1】:

这取决于r1_register 实际在做什么。如果它只是保存用户而不是别的,那么它们是等价的,因为这就是 EntityManager#persist 正在做的事情。但是如果 DB 函数正在执行一些安全检查或写入其他表,那么您也需要在 JPA 中实现它。顺便说一句,插入User并获取ID的代码应该是

public User register(User u) {
    em.getTransaction().begin();
    em.persist(u);
    em.getTransaction().commit();
    int id = u.getId();
    return u;
}

但如果在调用register 方法后需要该ID,则不必调用EntityManager#flush,刷新在每个事务结束时执行。

【讨论】:

  • 所以他们都防范sql感染?他们也都发起了交易? Mycode 如所见。还有e.getId();?没有e变量
  • 对不起,我的意思是u。好吧,EntityManager 确实可以保护您免受 SQL 注入。不,事务是通过进入EJB bean 中的方法或通过em.getTransaction().begin(); 发起的。
  • 你错了我担心em.persist(u); 有或没有flush 不设置id - System.out.println("USER id: " + u.getIduser()); 打印0。我仍然想知道是否可以防止注入 - 我是很惊讶他们没有在文档中提到它。此外,我还不确定是否有交易正在进行 - 你能提供一些链接吗?
  • 如果没有活动事务,EM 甚至不会将您的实体插入数据库。这取决于您在哪个上下文中调用它 - 方法 register 是 EJB bean 的一部分吗?如果是,您已经拥有开箱即用的事务,如果没有,那么您需要自己开始并提交它。
  • 对于 SQLi,您使用 EM 真的很安全,除非您将变量连接到 SQL 查询。
猜你喜欢
相关资源
最近更新 更多
热门标签
Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式