Spring引导:存储库接口sql注入保护
我的Spring Boot应用程序中有一个存储库接口,如下所示Spring引导:存储库接口sql注入保护,spring,spring-boot,sql-injection,Spring,Spring Boot,Sql Injection,我的Spring Boot应用程序中有一个存储库接口,如下所示 @Repository public interface CounterRepository extends JpaRepository<Counter, String> { Counter findByMediaName(String mediaName); } @存储库 公共接口计数器存储库扩展了JpaRepository{ 计数器findByMediaName(字符串mediaName); } 此接口没
@Repository
public interface CounterRepository extends JpaRepository<Counter, String> {
Counter findByMediaName(String mediaName);
}
@存储库
公共接口计数器存储库扩展了JpaRepository{
计数器findByMediaName(字符串mediaName);
}
此接口没有实现。这只是春靴魔术。我想知道
mediaName
参数是否存在SQL注入的风险?我使用的是springboot2.2.6。发布版
不,没有。它将创建一个CriteriaAPI查询(以正确的方式),该查询将转义参数。
就像你使用事先准备好的语句一样。不,没有。它将创建一个CriteriaAPI查询(以正确的方式),该查询将转义参数。
这就像使用事先准备好的语句一样。这是一个常见的误解。JPA和其他ORM使我们不必创建手工编码的SQL语句,但它们不会阻止我们编写易受攻击的代码
这是一个常见的误解。JPA和其他ORM使我们不必创建手工编码的SQL语句,但它们不会阻止我们编写易受攻击的代码
这是对的,但他向界面询问。它将防止这种程序员失败。无论如何,这是一个有用的算法。是的,谢谢你的评论。这是正确的,但他问了接口问题。它将防止这种程序员失败。无论如何,这是一个有用的算法。是的,谢谢你的评论。