`

Hibernate防止SQL注入

阅读更多

转:http://oyhk.iteye.com/blog/903402

 

Hibernate防止SQL注入

  PS:本文章来自于互联网,主要用于学习之用,无任何商业利益。如有侵权,请作者与本人联系,本人保证在24给予删除。

今天读《Hibernate In Action》,看到有关的SQL中可能被注入单引号的问题

前阶段我做完了一个系统,如果在查询字段中输入单引号"'",则会报错,这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql,实际上这就是SQL注入漏洞,后来我在前台和后台都对输入的字符进行了判断。

今天看《Hibernate In Action》第七章7.1.2绑定参数时发现也提到了这一点,以下是我的简短的翻译:

永远也不要写这样的代码:

     String queryString = "from Item i where i.description like '" + searchString + "'";
     List result = session.createQuery(queryString).list();

    如果用户输入:foo' and callSomeStoredProcedure() and 'bar' = 'bar,则你的程序在执行一个简单查询后,还会调用某个存储过程,

这样你的程序就开了一个安全漏洞,如果用户偶尔输入了一个单引号,你的程序就可能报错(我的程序就这样呀!)。

     永远也不要把未经检查的用户输入的值直接传给数据库!

幸运的时有一个简单的机制可以避免这种错误:

JDBC在绑定参数时有一个安全机制,它可以准确的将那些需要转义的字符进行转义(escape),

如上面的searchString,它被escape,不再作为一个控制字符了,而是作为被查询的匹配的字符串的一部分。(这里指的是prepared statement,而是用普通的statment不行,我试过)。

另外,如果我们使用参数绑定,还可以提高数据库的执行效率,prepared statement语句被编译一次后,被放在cache中,就不再需要编译,可以提高效率。

参数绑定有2种办法:使用positional parameter或者named parameter。

Hibernate支持JDBC样式的positional parameter(查询字符串中使用?),它同使用named parameter的效果一样(查询字符串中使用:)。

使用named parameter

使用named parameter,我们重新写上面的查询语句:

String queryString = "from Item item where item.description like :searchString";

冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:

    List result = session.createQuery(queryString)
                      .setString("searchString", searchString)
                      .list();

因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!

如果有多个参数需要被帮定,我们这样处理:

String queryString = "from Item item "
                           + "where item.description like :searchString "
                           + "and item.date > :minDate";
List result = session.createQuery(queryString)
                  .setString("searchString", searchString)
                   .setDate("minDate", minDate)
                  .list();

使用positional parameter

    如果你喜欢,也可以使用positional parameter:

String queryString = "from Item item "
                           + "where item.description like ? "
                           + "and item.date > ?";
List result = session.createQuery(queryString)
                  .setString(0, searchString)
                  .setDate(1, minDate)
                  .list();

这段代码可读性强不如上面的强,而且可维护性差,如果我们的查询稍微改变一点,将第一个参数和第二个参数改变一下位置:

String queryString = "from Item item "
                            + "where item.date > ? "
                           + "and item.description like ?";

这样我们的代码中涉及到位置的地方都要修改,所以我们强烈建议使用named parameter方式进行参数绑定。

最后,在named parameter中可能有一个参数出现多次的情况,应该怎么处理呢?

String userSearch = "from User u where u.username like :searchString"
                           + " or u.email like :searchString";
List result = session.createQuery(userSearch)
                  .setString("searchString", searchString)
                   .list();

不要使用

为了防止SQL注入,避免使用拼凑SQL语句的方式!!!

分享到:
评论

相关推荐

    Hibernate使用中防止SQL注入的几种方案

    以下是Hibernate中防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...

    防止sql注入解决方案

    为了防止SQL注入,开发者需要采取一系列的预防措施,确保应用程序的安全性。以下是一些核心的解决方案: 1. **预编译语句(PreparedStatement)**: 题目中提到的预编译语句是防止SQL注入的关键技术。预编译语句在...

    防止sql注入demo

    本示例"防止SQL注入demo"是针对这种威胁的一种防御措施,主要关注Java环境下的解决方案。下面我们将深入探讨SQL注入的基本原理、为何需要防止以及如何在Java中实现过滤器(Filter)来防止此类攻击。 1. SQL注入基础...

    防止SQL注入式攻击

    6. **使用ORM(对象关系映射)框架**:如Hibernate或Entity Framework等,它们会自动处理SQL语句的构建,通常能更好地防止SQL注入。 7. **更新和维护**:保持数据库系统和应用程序的最新状态,及时修复已知的安全...

    jsp 防止sql注入jsp 防止sql注入

    使用预编译的SQL语句(例如PreparedStatement)是防止SQL注入的最佳实践。这种方式将SQL语句与用户输入的数据分离,确保即使用户输入恶意代码,也不会影响到查询结构。例如: ```java String query = "SELECT * ...

    hibernate注入的三种方式

    在探讨Hibernate注入的三种方式时,我们主要关注的是如何在Spring框架中整合Hibernate,以便实现对象关系映射(ORM)并进行数据库操作。这三种方式包括:通过`LocalSessionFactoryBean`配置、直接注入`...

    修改请求参数 防止 SQL 注入、防止脚本注入

    总的来说,防止SQL注入和XSS攻击是Web开发中的基础安全措施。通过理解这些攻击方式的工作原理,并在代码中实施相应的防护机制,我们可以大大降低系统被攻击的风险,保障用户数据的安全。记住,安全不是一次性的任务...

    防止sql注入的url过滤器【java filter】

    为了解决这一问题,我们可以利用Java的Filter机制来创建一个防止SQL注入的URL过滤器。下面将详细介绍这个过滤器的工作原理、配置方法以及如何有效地防止SQL注入。 首先,我们需要理解SQL注入的基本概念。SQL注入是...

    SQL注入全面讲解技术文档

    - 使用ORM(对象关系映射)框架:如Hibernate,它们通常有内置的SQL注入防护措施。 - 不显示错误信息:在生产环境中,隐藏详细的错误信息,防止暴露数据库结构和语法。 3. 高级SQL注入技巧: - 跨站式SQL注入:...

    防止SQL注入dbq

    防止SQL注入是保护数据库安全的关键措施。本文将深入探讨SQL注入的基本原理,以及如何在Java编程中使用工具和源码实践来防止这种攻击。 SQL注入的原理是利用应用程序在构建SQL查询时没有对用户输入进行充分验证的...

    有效防止SQL注入的5种方法总结

    以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...

    SQLInner防止SQL注入式攻击源码

    SQLInner是一种专门用于防止SQL注入的工具或库,它的目标是确保应用程序的SQL查询不会被恶意输入所利用。在这个源码中,我们可以深入学习如何在编程中实现这样的防御机制。 SQL注入的常见方式包括通过HTTP请求传递...

    java防止sql注入.pdf

    在Java编程中,防止SQL注入是一项至关重要的安全措施。SQL注入是黑客利用应用程序不恰当处理用户输入的SQL语句,从而执行恶意SQL命令的一种攻击方式。这种攻击可能导致数据泄露、数据库破坏甚至整个系统的瘫痪。以下...

    防止SQL语句注入

    **防止SQL注入的策略** 1. **参数化查询**:使用预编译的SQL语句,将用户输入作为参数传递,而不是直接拼接到SQL字符串中。例如,使用ORM框架(如Hibernate、Entity Framework)或数据库提供的存储过程。 2. **输入...

    sql注入和防SQL注入

    总的来说,防止SQL注入的关键在于正确处理用户输入,避免直接将未经验证的用户数据用于构造SQL语句。同时,配合其他安全措施,如使用安全的编程习惯、定期更新系统和库,以及进行安全审计,可以大大提高系统的安全性...

    JDBC如何有效防止SQL注入?

    在Java的JDBC编程中,防止SQL注入至关重要,以下是一些有效的策略: 1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询...

    Hibernate中Sql语句

    这可以通过字符串拼接实现,但需要注意防止SQL注入攻击。 ```java String sf = "select sum(c.productid) productSum, p.cityid cityName from a_chip c, a_productboxlog p where c.u_id = p.u_id"; // ...条件...

    sql注入攻击防范解析

    SQL注入攻击是网络安全领域中一个严重的问题,它发生在应用程序未能充分验证或清理用户输入的数据时。当恶意用户通过输入特定的SQL代码,使得数据库执行非预期的操作,就可能发生SQL注入。这种攻击可能导致数据泄露...

    sql注入法攻击sql注入法攻击.rar

    对于想要深入了解和防止SQL注入的人来说,这些资源可能会非常有用。 总的来说,理解SQL注入的原理和防范措施是每个IT专业人员必备的知识,特别是那些负责开发、维护Web应用和数据库安全的人员。通过学习和实践,...

    SQL注入漏洞演示源代码

    防止SQL注入的方法主要有以下几点: 1. **参数化查询**:使用预编译的SQL语句和参数,如PHP的PDO或MySQLi的预处理语句,可以确保用户输入被当作数据而非代码处理。 2. **输入验证**:对用户输入进行严格的验证,...

Global site tag (gtag.js) - Google Analytics