hibernate防止sql语句注入

如果在查询字段中输入单引号"'"，则会报错，这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql，实际上这就是SQL注入漏洞，后来我在前台和后台都对输入的字符进行了判断。

永远也不要写这样的代码：

String queryString = "from Item i where i.description like '" + searchString + "'";
List result = session.createQuery(queryString).list();

如果用户输入:foo' and callSomeStoredProcedure() and 'bar' = 'bar，则你的程序在执行一个简单查询后，还会调用某个存储过程，

这样你的程序就开了一个安全漏洞，如果用户偶尔输入了一个单引号，你的程序就可能报错。

永远也不要把未经检查的用户输入的值直接传给数据库！

幸运的时有一个简单的机制可以避免这种错误：

JDBC在绑定参数时有一个安全机制，它可以准确的将那些需要转义的字符进行转义（escape），

如上面的searchString，它被escape，不再作为一个控制字符了，而是作为被查询的匹配的字符串的一部分。（这里指的是prepared statement，而是用普通的statment不行，我试过）。

另外，如果我们使用参数绑定，还可以提高数据库的执行效率，prepared statement语句被编译一次后，被放在cache中，就不再需要编译，可以提高效率。

参数绑定有2种办法：使用positional parameter或者named parameter。

hibernate支持JDBC样式的positional parameter（查询字符串中使用？），它同使用named parameter的效果一样（查询字符串中使用:）。

使用named parameter

使用named parameter，我们重新写上面的查询语句：

String queryString = "from Item item where item.description like :searchString";

冒号后面是一个named parameter，我们可以使用Query接口将一个参数绑定到searchString参数上：

List result = session.createQuery(queryString)
.setString("searchString", searchString)
.list();

因为searchString是一个用户输入的字符串，所以我们使用Query的setString()方法进行参数绑定，这样代码更清晰，更安全，效率更好！

如果有多个参数需要被帮定，我们这样处理：

String queryString = "from Item item "
                           + "where item.description like :searchString "
                           + "and item.date > :minDate";
List result = session.createQuery(queryString)
                  .setString("searchString", searchString)
                   .setDate("minDate", minDate)
                  .list();

使用positional parameter

如果你喜欢，也可以使用positional parameter：

String queryString = "from Item item "
                           + "where item.description like ? "
                           + "and item.date > ?";
List result = session.createQuery(queryString)
                  .setString(0, searchString)
                  .setDate(1, minDate)
                  .list();

这段代码可读性强不如上面的强，而且可维护性差，如果我们的查询稍微改变一点，将第一个参数和第二个参数改变一下位置：

String queryString = "from Item item "
+ "where item.date > ? "
+ "and item.description like ?";

这样我们的代码中涉及到位置的地方都要修改，所以我们强烈建议使用named parameter方式进行参数绑定。

最后，在named parameter中可能有一个参数出现多次的情况，应该怎么处理呢？

String userSearch = "from User u where u.username like :searchString"
                           + " or u.email like :searchString";
List result = session.createQuery(userSearch)
                  .setString("searchString", searchString)
                   .list();

不要使用

为了防止SQL注入，避免使用拼凑SQL语句的方式！！！

hibernate防止sql语句注入相关推荐

hibernate mysql语句_打印hibernate的SQL语句的几种办法
摘要使用hibernate时,我们常常需要查看hibernate实际提交到数据库的SQL及相关参数.这里提供几种方案,供大家在开发中使用. 使用hibernate-configuration 这也许 ...
SQL语句注入的全过程
前阵子发现公司的网站有SQL注入漏洞,向项目经理提了以后,得到的答复异常的冷淡:"早就知道,这种asp的网站肯定有漏洞,要是Asp.net的网站就没问题",先暂不评价此说法对错,如 ...
hibernate执行sql语句查询删除
//执行删除sql语句 @Overridepublic void deleteById(String id) {// TODO Auto-generated method stubint a=this ...
Hibernate使用原生SQL语句（left join左连接查询）
Hibernate使用原生SQL语句以下是本人对Hibernate使用原生SQL语句的理解: 在项目开发当中使用Hibernate提供的HQL有时候不能满足需求,尤其是多表查询或者是多表中没创建主外 ...
jboss7 关闭日志打印_使用自定义日志记录处理程序在JBoss AS 7中跟踪SQL语句
jboss7 关闭日志打印使用ORM从您的特定数据库中提取数据并让其创建和发布您必须亲自编写的所有SQL语句似乎很方便. 这就是使ORM解决方案受欢迎的原因. 但是它也有一个缺点:由于ORM为您做了 ...
使用自定义日志记录处理程序在JBoss AS 7中跟踪SQL语句
使用ORM从您的特定数据库中提取数据,并让它创建和发布您必须亲自编写的所有SQL语句似乎很方便. 这就是使ORM解决方案受欢迎的原因. 但是它也有一个缺点:由于ORM为您做了很多工作,因此您在某种程度 ...
利用SQL语句在SQLite数据库中实现命令执行
SQLite是世界上使用最多的数据库之一.然而,关于其安全方面的研究,都只涉及WebSQL和浏览器开发方面.我们相信这只是SQLite安全的冰山一角. 在对SQLite安全性的长期研究中,我们尝试在任 ...
java中sql语句怎么把开始和结束时间作为参数写sql查询_聊一聊MyBatis 和 SQL 注入间的恩恩怨怨
整理了一些Java方面的架构.面试资料(微服务.集群.分布式.中间件等),有需要的小伙伴可以关注公众号[程序员内点事],无套路自行领取引言 MyBatis 是一种持久层框架,介于 JDBC 和 Hi ...
使用SQLQuery 在Hibernate中使用sql语句
对原生SQL查询执行的控制是通过SQLQuery接口进行的,通过执行Session.createSQLQuery()获取这个接口.下面来描述如何使用这个API进行查询. 1.标量查询(Scalar q ...

hibernate防止sql语句注入

hibernate防止sql语句注入相关推荐

最新文章

热门文章