Pracuję z Hibernate w celu ochrony mojej witryny przed SQL Injection.Czy Hibernate Criteria Api całkowicie chroni przed Injection SQL
Słyszałem, że API Kryteriów Hibernacji ma większą moc niż HQL. Czy Hibernate Criteria Api całkowicie chroni przed SQL Injection?
Tak, robi.
Kryteria API, jak również parametry zapytań w HQL lub JPQL, wymykają się parametrom i nie powodują złośliwego SQL.
Ta luka pojawia się tylko wtedy, gdy po prostu łączysz parametry z zapytaniem. Wtedy każdy złośliwy SQL staje się częścią twojego zapytania.
EDYCJA Urządzenie OWASP ma numer SQL injection prevention cheatsheet. Używanie zapytań kryterialnych jest równoważne z opcją obrony 1: używanie przygotowanych wyciągów.
jaki jest wniosek. czy API kryteriów całkowicie chroni moje strony internetowe przed iniekcją SQL? –
@ яєη נ ιтн.я Przepraszamy za niejednoznaczne brzmienie. Tak. – kostja
@ яєη נ ιтн.я to, co faktycznie chroni cię przed iniekcją SQL, to "Instrukcje", które są używane z Kryteriami, HQL lub nawet czystym JDBC, jeśli używasz go poprawnie. Wniosek jest następujący: nie łącz konkrementu String, aby utworzyć zapytanie. Użyj interfejsu API. –