那些遇到过的问题

Hibernate Criteria Api是否完全防止SQL注入

ѕтƒ*_*ѕтƒ 10 java hibernate sql-injection criteria-api hibernate-criteria

我正在使用Hibernate保护我的网站免受SQL注入.

我听说Hibernate Criteria API比HQL更强大.Hibernate Criteria Api是否完全防止SQL注入?

kos*_*tja 12

是的,它确实.

Criteria API以及HQL或JPQL中的查询参数都会转义参数,并且不会执行恶意SQL.

只有将参数连接到查询中时,才会暴露此漏洞.然后,任何恶意SQL都会成为您查询的一部分.

编辑 OWASP具有SQL注入预防备忘单.使用条件查询等同于防御选项1:使用预准备语句.

  • @яєηנιтн.я实际上保护你免受SQL注入的是`Statements`,它与Criteria,HQL甚至纯JDBC一起使用,如果你正确使用它.结论是:不要连接String来创建查询.使用API​​. (3认同)

归档时间:

查看次数:

7057 次

最近记录:

9 年,11 月 前
相关归档
如何从Java代码生成UML图(尤其是序列图)? 429
like子句JPQL中的参数 84
是否有一个保存Set的插入顺序也实现了List? 82
无法从数字单元格"Poi"获取文本值 57
查询方法中的Spring Data可选参数 39
SQL注入?CHAR(45,120,49,45,81,45) 31
不要使用cascade ="all-delete-orphan"更改对集合的引用 8
如何对 @OneToMany 关系映射的列使用 JPA findBy 查询? 5
如何使用java在postgreSQL中存储doc,jpeg,pdf文件 4
在标准查询中加入两个表 2
难疑归档
做一个"git export"(比如"svn export")? 2312
finally块总是在Java中执行吗? 2281
如何在Python中复制文件? 2171
轻松获取最新的git子模块 1748
按值对地图<键,值>进行排序 1569
为什么将0.1f改为0会使性能降低10倍? 1491
你什么时候应该使用escape而不是encodeURI/encodeURIComponent? 1371
在Android上旋转活动重启 1341
无法绑定到'ngModel',因为它不是'input'的已知属性 1173
R无法解析 - Android错误 1056