1
這可能是一個愚蠢的問題,但我沒有看到文檔中的任何內容明確指出標準查詢是參數化的還是在引擎蓋下注入保護的。Java/Hibernate標準查詢API是否防止注入?
換句話說,是否像下面的謂詞直接容易受到注入攻擊?如果是這樣,我該如何解決它?環顧文檔我沒有看到任何參數化或類似的選項。
criteriaBuilder.like(
root.get("prop"),
"%"+userInput+"%"
)
A
回答
0
是,Hibernate使用參數化查詢的標準*
證實了這一點最簡單的方法,就是要激活SQL日誌(設置org.hibernate.SQL類別DEBUG),你會看到hibernate產生的查詢(並獲取參數值,激活日誌類別:org.hibernate.type爲TRACE級別)。
*您可以手動編寫sql部分(使用Restrictions.sqlRestriction("..."))。如果您正在編寫容易進行sql注入的sql,那麼您的標準查詢也會受到它的影響。
0
是的。
使用Criteria API與使用參數化PreparedStatements相同。唯一需要謹慎的事情不是連接查詢字符串,或者是否真的需要非常小心。
相關問題
- 1. 防止SQL注入查詢
- 2. 是否阻止查詢命令足以防止SQL注入?
- 3. 此處準備的語句是否防止SQL注入
- 4. 加密是否防止sql注入?
- 5. psychopg2:是否cursor.mogrify防止sql注入?
- 6. Hibernate Criteria Api是否完全防止SQL注入
- 7. 這是防止SQL注入Wordpress查詢的最佳方法
- 8. 凡在標準API查詢
- 9. 注入一個子查詢到標準查詢
- 10. 是否可以防止沒有預準備語句的SQL注入(Node.js和MSSQL)
- 11. 防止JavaScript注入
- 12. 防止SQL注入
- 13. 防止HTML注入
- 14. 防止LDAP注入
- 15. 檢查標準輸入是否爲空
- 16. 查詢生成器是否阻止SQL注入?
- 17. 標準API:使用標準API創建查詢文檔
- 18. 此查詢是否爲注入證明?
- 19. 防止SQL注入,同時讓用戶在查詢
- 20. 無法防止SQL注入在Rails中的查詢
- 21. PHP activerecord基本CRUD操作是否可以防止SQL注入?
- 22. 是否Symfony的2請求對象防止SQL注入
- 23. htaccess重寫規則是否有助於防止SQL注入?
- 24. 這是否可以防止注入攻擊?
- 25. rails:構建方法是否防止sql注入
- 26. 使用存儲過程是否防止SQL注入/ XSXX攻擊?
- 27. 防止插入查詢與PHP
- 28. 標準查詢
- 29. 防止GET參數注入
- 30. 如何防止SQL注入?
你爲什麼在乎它是否參數化?你所關心的是是否存在注入漏洞。 – immibis
當然,夠公平的。我只是這麼說,因爲參數化是首先想到的提供體面防禦注入的一致方式,並且它將與API的結構保持一致。但是你是對的,他們的實現細節與結果並不直接相關,也沒有直接詢問的意義。我會重寫我的問題。 –
我會假設任何*優質*庫不允許SQL注入攻擊,除非另有說明。但是,請注意,這僅適用於*優質*庫。 Hibernate對我來說看起來很像,但我從來沒有用過它。 – immibis