那些遇到过的问题

使criteria.add(Restrictions.sqlRestriction())sql注入证明

Sup*_*999 3 sql hibernate

民间,

我在休眠3中建立一个标准,如下所示。这是SQL注入证明?

criteria
    .add(
         Restrictions.sqlRestriction(
            "to_char(createDate,'mm/dd/yyyy') like '%" + dateString + "%'"),
         StandardBasicTypes.STRING);
Run Code Online (Sandbox Code Playgroud)

我在想的另一个选项是将dateString转换为日期并转换为此

criteria.add(Restrictions.eq(createDate, dateObjCreatedFromString)
Run Code Online (Sandbox Code Playgroud)

Ale*_*øld 5

不,这不是SQL注入证明,因为您正在使用常规的String操作来建立限制。正确执行此操作的方法(假设您必须使用sqlRestriction来解决此问题):

criteria
    .add(
         Restrictions.sqlRestriction(
            "to_char(createDate,'mm/dd/yyyy') like ?", 
            "%" + dateString + "%", StandardBasicTypes.STRING));
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

2714 次

最近记录:

11 年 前
相关归档
SQL Server中的SYSNAME数据类型是什么? 119
MySQL'创建模式'​​和'创建数据库' - 有什么区别 99
哪个SQL查询更快?过滤加入条件或Where子句? 83
如何使用随机日期更新行 62
如何在jOOQ中编写计数查询 24
什么是JDBC驱动程序的1,2,3或4型? 20
艾伦在SQL中的Interval Algebra操作 14
查看PostgreSQL中的错误 13
Hibernate getParameterValue() 不适用于集合 6
Spring Boot JPA 不会在查询中的表中添加模式名称 6
难疑归档
从脚本本身获取Bash脚本的源目录 4672
在C#中将int转换为枚举 3015
如何创建一个像链接一样的HTML按钮? 1769
如何生成随机字母数字字符串? 1679
如何在Notepad ++中格式化XML? 1661
@classmethod和@staticmethod对初学者的意义? 1532
在Android上旋转活动重启 1341
为什么不从List <T>继承? 1299
如何禁用UITableView选择? 1176
Pythonic方式创建一个长多行字符串 1160