1
这可能是一个愚蠢的问题,但我没有看到文档中的任何内容明确指出标准查询是参数化的还是在引擎盖下注入保护的。Java/Hibernate标准查询API是否防止注入?
换句话说,是否像下面的谓词直接容易受到注入攻击?如果是这样,我该如何解决它?环顾文档我没有看到任何参数化或类似的选项。
criteriaBuilder.like(
root.get("prop"),
"%"+userInput+"%"
)
A
回答
0
是,Hibernate使用参数化查询的标准*
证实了这一点最简单的方法,就是要激活SQL日志(设置org.hibernate.SQL类别DEBUG),你会看到hibernate产生的查询(并获取参数值,激活日志类别:org.hibernate.type为TRACE级别)。
*您可以手动编写sql部分(使用Restrictions.sqlRestriction("..."))。如果您正在编写容易进行sql注入的sql,那么您的标准查询也会受到它的影响。
0
是的。
使用Criteria API与使用参数化PreparedStatements相同。唯一需要谨慎的事情不是连接查询字符串,或者是否真的需要非常小心。
相关问题
- 1. 防止SQL注入查询
- 2. 是否阻止查询命令足以防止SQL注入?
- 3. hibernate命名查询是否可以防止SQL注入攻击?
- 4. 此处准备的语句是否防止SQL注入
- 5. PHP:base64_encode是否防止mysql注入?
- 6. psychopg2:是否cursor.mogrify防止sql注入?
- 7. 此代码是否防止SQL注入?
- 8. 加密是否防止sql注入?
- 9. Hibernate Criteria Api是否完全防止SQL注入
- 10. 这是防止SQL注入Wordpress查询的最佳方法
- 11. 凡在标准API查询
- 12. 注入一个子查询到标准查询
- 13. 在MySQL中使用预准备语句是否防止SQL注入攻击?
- 14. 是否可以防止没有预准备语句的SQL注入(Node.js和MSSQL)
- 15. 防止SQL注入
- 16. 防止SQL注入
- 17. 防止JavaScript注入
- 18. 防止php注入
- 19. 防止html注入
- 20. 防止LDAP注入
- 21. 防止HTML注入
- 22. 防止sql注入
- 23. 检查标准输入是否为空
- 24. 查询生成器是否阻止SQL注入?
- 25. 防止bash转发标准输入到标准错误
- 26. 此查询是否为注入证明?
- 27. 标准API:使用标准API创建查询文档
- 28. 防止插入SQL注入
- 29. 防止SQL注入:我如何使这个查询注入证明
- 30. 如何防止注入攻击在Python中创建MySQL查询
你为什么在乎它是否参数化?你所关心的是是否存在注入漏洞。 – immibis
当然,够公平的。我只是这么说,因为参数化是首先想到的提供体面防御注入的一致方式,并且它将与API的结构保持一致。但是你是对的,他们的实现细节与结果并不直接相关,也没有直接询问的意义。我会重写我的问题。 –
我会假设任何*优质*库不允许SQL注入攻击,除非另有说明。但是,请注意,这仅适用于*优质*库。 Hibernate对我来说看起来很像,但我从来没有用过它。 – immibis