那些遇到过的问题

在HQL order by子句中处理SQL注入

mic*_*man 6 java hibernate hql sql-order-by code-injection

是否有一种简单的方法来处理Hibernate HQL order by子句中的SQL注入.命名参数显然不起作用.

编辑:

随意发布处理此问题的方法.我希望看到其他人的解决方案并从他们那里传授.

感谢您的任何建议和解决方案.

Ral*_*lph 3

您可以使用 Hibernate criteria API 而不是 HQL。

标准 API 检查订单标准是否引用了有效的属性。

如果你尝试这样的事情:

public void testInjection() {
    String orderBy = "this_.type desc, type";

    Criteria crit = this.getSession().createCriteria(DemoEntity.class);
    crit.addOrder(Order.asc(orderBy));      
    crit.list();
}
Run Code Online (Sandbox Code Playgroud)

你会QueryException: "could not resolve property this_ of de.test.DemoEntity" 被 AbstractPropertyMapping 抛出异常。

归档时间:

查看次数:

2497 次

最近记录:

14 年,7 月 前
相关归档
在mysql中使用union和order by子句 118
对于不同的密钥,HashMap是否是线程安全的? 80
Spring/Java错误:JDK 1.5及更高版本上的命名空间元素'annotation-config'... 67
NHibernate - 更新一个带有触发器的表会导致错误 - 意外的行数:2; 预期:1 22
了解Hibernate hibernate.max_fetch_depth和hibernate.default_batch_fetch_size 14
Hibernate HQL转换:java.lang.String不能转换为java.lang.Enum 12
如何让Hibernate在1处为新对象启动版本列? 6
Hibernate实体跨表而不是每个表自动增加id 6
使用自动创建表时,Hibernate不会自动为数据库创建顺序 5
Hibernate @CreationTimestamp @UpdateTimestamp for Calendar 5
难疑归档
如何在Python中获取当前时间 2618
如何从Bash脚本检查程序是否存在? 2032
你如何改变用matplotlib绘制的数字的大小? 1726
如何检查Bash中是否设置了变量? 1417
如何从GET参数中获取值? 1255
在文本框中的Enter键上使用JavaScript触发按钮单击 1250
循环遍历Bash中的文件内容 1242
将项目导入Eclipse后,"必须覆盖超类方法"错误 1223
type()和isinstance()之间有什么区别? 1163
这是什么意思?"'NSUnknownKeyException',原因:...此类不是键值X的键值编码兼容" 1143