7
我正在使用Hibernate來保護我的網站免受SQL注入攻擊。Hibernate Criteria Api是否完全防止SQL注入
我聽說Hibernate Criteria API比HQL更強大。 Hibernate Criteria Api是否完全防止SQL注入?
A
回答
9
是的,它的確如此。
Criteria API以及HQL或JPQL中的查詢參數都會轉義參數並且不會執行惡意SQL。
僅當您將參數連接到查詢中時纔會暴露該漏洞。然後,任何惡意SQL都會成爲您查詢的一部分。
編輯該OWASP功能SQL injection prevention cheatsheet。使用標準查詢相當於防禦選項1:使用準備好的語句。
相關問題
- 1. Java/Hibernate標準查詢API是否防止注入?
- 2. 加密是否防止sql注入?
- 3. psychopg2:是否cursor.mogrify防止sql注入?
- 4. 防止SQL注入
- 5. Hibernate Criteria API
- 6. SQL防止SQL注入
- 7. 是否阻止查詢命令足以防止SQL注入?
- 8. 防止SQL注入查詢
- 9. 如何防止SQL注入?
- 10. 防止SQL注入與PHP
- 11. pdo防止sql注入
- 12. 防止SQL注入在asp.net
- 13. 防止SQL注入在ZF
- 14. TryParse防止SQL注入嗎?
- 15. 防止SQL注入的PHP
- 16. 這是一個安全的方法來防止SQL注入?
- 17. Hibernate Criteria API - 訪問加入的屬性
- 18. 此處準備的語句是否防止SQL注入
- 19. PHP activerecord基本CRUD操作是否可以防止SQL注入?
- 20. 是否Symfony的2請求對象防止SQL注入
- 21. htaccess重寫規則是否有助於防止SQL注入?
- 22. rails:構建方法是否防止sql注入
- 23. 使用存儲過程是否防止SQL注入/ XSXX攻擊?
- 24. LINQ-To-SQL如何防止SQL注入?
- 25. PHP + SQL腳本 - 防止SQL注入
- 26. 是否有可能完全免疫SQL注入?
- 27. Hibernate Criteria API等價於「elements()」
- 28. 用Hibernate Criteria API讀取
- 29. oci_bind_by_name是否安全地阻止SQL注入?
- 30. 在SQL注入方面是否安全?
結論是什麼。標準API是否完全保護我的網站免受SQL注入? – 2013-02-25 12:04:10
@яєηנιтн.я對不起,聽起來不確定。是的,它確實。 – kostja 2013-02-25 12:08:27
@яєηנιтн.я實際上保護你免受SQL注入的是Statements,用於Criteria,HQL甚至純JDBC,如果你正確使用它的話。結論是:不要連接字符串來創建您的查詢。使用API。 – 2013-02-25 12:27:01