Я работаю с Hibernate, чтобы защитить свой сайт от SQL Injection.Является ли Hibernate Criteria Api полностью защищенным от SQL Injection
Я слышал, что Hibernate Criteria API более мощный, чем HQL. Является ли Hibernate Criteria Api полностью защищенным от SQL Injection?
Да, это так.
Критерии API, а также параметры запроса в HQL или JPQL позволяют избежать параметров и не будут запускать вредоносный SQL.
Уязвимость существует, только если вы просто объедините параметры в свой запрос. Тогда любой вредоносный SQL становится частью вашего запроса.
EDIT OWASP имеет SQL injection prevention cheatsheet. Использование запросов критериев эквивалентно оборонному варианту 1: использование подготовленных операторов.
какой вывод. API критериев полностью защищает мои сайты от SQL Injection.? –
@ яєη נ ιтн.я Извините за звучание неубедительно. Да. – kostja
@ яєη נ ιтн.я, что на самом деле защищает вас от SQL-инъекции, - это «утверждения», которые используются с критериями, HQL или даже чистым JDBC, если вы используете его правильно. Вывод: не конкатенируйте String, чтобы создать свой запрос. Используйте API. –