0
我正在使用JPA。如果我正在使用本地sql查詢(而不是實體查詢),那麼我的應用程序如何可以安全SQL注入?我需要使用用戶從html表單提交的數據構建本機sql查詢。本機SQL查詢 - SQL注入攻擊
如果我在原生sql中使用參數,我可以避免SQL注入攻擊,但是我的問題是我無法確定用戶提交了多少個數據字段。
A
回答
2
您應該使用位置參數綁定:
String queryString = "select * from EMP e where e.name = ?1";
Query query = em.createNativeQuery(queryString, Employee.class);
query.setParameter(1, "Mickey");
請注意,您不應命名參數綁定(:empName)在查詢的JPA規範說
只有位置參數綁定可以輕易地用於原生查詢。
這應該可以保護您免受SQL注入攻擊。
相關問題
- 1. SQL注入攻擊
- 2. SQL注入攻擊
- 3. 這些SQL查詢中是否存在SQL注入攻擊?
- 4. SQL注入攻擊和django
- 5. Erlang和SQL注入攻擊
- 6. Linq到sql和sql注入攻擊
- 7. 如何防止從UI中傳入SQL查詢時發生SQL注入攻擊
- 8. 這是查詢容易受到SQL注入攻擊
- 9. 是我的SQL查詢容易受到SQL注入或其他攻擊
- 10. Nhibernate易受SQL注入攻擊嗎?
- 11. 防止SQL注入和XSS攻擊
- 12. 用OpenCart保護SQL注入攻擊2.3.0.2
- 13. Sql注入攻擊和亞音速
- 14. SQL注入攻擊 - 使用mysqli_multi_query()
- 15. 法律網站SQL注入攻擊
- 16. 最常用的SQL注入攻擊
- 17. Sql注入查詢
- 18. 你如何檢查你的URL的SQL注入攻擊?
- 19. SQL Server 2008表值是否容易受到SQL注入攻擊?
- 20. 「mysqli_real_escape_string」足以避免SQL注入或其他SQL攻擊嗎?
- 21. 是LINQ to SQL InsertOnSubmit()受SQL注入攻擊嗎?
- 22. PHP和PostgreSQL:避免跨站腳本和SQL注入攻擊
- 23. 本地主機在活動服務器上的SQL注入攻擊
- 24. 在嘗試使用sql語句存儲文本時接收sql注入攻擊
- 25. 笨3 SQL注入查詢
- 26. 防止SQL注入查詢
- 27. SQL注入攻擊通過表單輸入
- 28. 如何對此代碼執行SQL注入攻擊?
- 29. 的iframe注入攻擊
- 30. JPA查詢 - 位置參數sql注入jpa本地查詢