Tôi đang làm việc với Hibernate để bảo vệ trang web của tôi khỏi SQL Injection.Tiêu chuẩn Hibernate Api hoàn toàn bảo vệ khỏi SQL Injection
Tôi nghe nói rằng Hibernate Criteria API mạnh hơn HQL. Tiêu chí Hibernate Api có bảo vệ hoàn toàn khỏi SQL Injection không?
Có, có.
API tiêu chí cũng như tham số truy vấn trong HQL hoặc JPQL đều thoát khỏi các tham số và sẽ không thực thi SQL độc hại.
Lỗ hổng chỉ được hiển thị nếu bạn chỉ cần ghép nối các tham số vào truy vấn của mình. Sau đó, bất kỳ SQL độc hại nào trở thành một phần của truy vấn của bạn.
EDIT OWASP có SQL injection prevention cheatsheet. Sử dụng truy vấn tiêu chí tương đương với tùy chọn phòng thủ 1: sử dụng câu lệnh đã chuẩn bị.
kết luận là gì. API tiêu chí có bảo vệ hoàn toàn các trang web của tôi khỏi SQL Injection không? –
@ яєη נ ιтн.я Xin lỗi vì âm thanh không thuyết phục. Vâng, đúng vậy. – kostja
@ яєη נ ιтн.я những gì thực sự bảo vệ bạn khỏi việc tiêm SQL là 'Các câu lệnh' được sử dụng với Tiêu chí, HQL hoặc thậm chí JDBC thuần túy, nếu bạn sử dụng nó một cách chính xác. Kết luận là: Không nối Chuỗi để tạo truy vấn của bạn. Sử dụng API. –