spring/hibernate如何为我们提供防止SQL注入的保证,以及它如何';什么是内部处理的?
我知道spring和hibernate是由SQL注入保护的spring/hibernate如何为我们提供防止SQL注入的保证,以及它如何';什么是内部处理的?,spring,orm,sql-injection,Spring,Orm,Sql Injection,我知道spring和hibernate是由SQL注入保护的 但是,我如何知道我的应用程序不会受到SQL注入攻击呢 任何ORM工具如何处理SQL注入 提前感谢。如果您正确使用API,Hibernate确实提供了SQL注入的安全性 发件人: 关于SQL注入的说明 由于这是一个热门话题,我现在将讨论它,但稍后将详细讨论 Hibernate不允许SQL注入,人们可以随意滥用API HQL(SQL的Hibernates子集)并没有什么特别之处使它更容易受到影响 createQuery(字符串查询)和cr
提前感谢。如果您正确使用API,Hibernate确实提供了SQL注入的安全性 发件人: 关于SQL注入的说明 由于这是一个热门话题,我现在将讨论它,但稍后将详细讨论
- Hibernate不允许SQL注入,人们可以随意滥用API
- HQL(SQL的Hibernates子集)并没有什么特别之处使它更容易受到影响
- createQuery(字符串查询)和createSQLQuery(字符串查询)等函数创建一个查询对象,在调用commit()时将执行该对象。如果查询字符串被污染,则有SQL注入。这些功能的细节将在后面介绍
String query1 = "select * from MyBean where id = "+ id;//Not secure
String query2 = "select * from MyBean where id = :id";//Secure
有关此主题的有用文章:请阅读感谢提供的有用信息。但是如何确保我的应用程序不受sql攻击呢?在这种情况下,请从文章开始。是的,谢谢帮助。只有正确使用API,它才能保护您。如果你用错了,就没有什么可以保护你。