堆栈内存溢出
  简体   繁体   English

如何使用 JPA 在本机插入查询中防止 SQL 注入?

[英]How to prevent SQL injection in native insert query with JPA?

 原文  2020-06-09 15:15:56       java/ postgresql/ hibernate/ jpa/ sql-injection

问题描述

I'm using a native query with JPA / Hibernate to perform an insert or update ("upsert") on PostgreSQL, depending whether an object exists or not.我正在使用 JPA / Hibernate 的本机查询在 PostgreSQL 上执行插入或更新(“upsert”),具体取决于 object 是否存在。 The code looks like this:代码如下所示:

val values: String = items.joinToString(", ", transform = this::convertItemToSqlValue)
val query = """
    insert into item (field1, field2)
    values $values
    on conflict on constraint item_pkey
    do update set 
        field1 = excluded.field1,
        field2 = excluded.field2
"""
entityManager.createNativeQuery(query).executeUpdate()

The function convertItemToSqlValue creates a String of the form ('value a', 123) . function convertItemToSqlValue创建一个形式为('value a', 123)的字符串。

A positional parameter ( values? ) didn't work (and led to a syntax error).位置参数( values? )不起作用(并导致语法错误)。

How could I prevent SQL injection with this kind of statmentement?我怎么能用这种声明来防止 SQL 注入呢?

1 个解决方案

解决方案1
 0 已采纳  2020-06-10 12:06:55

Building SQL statements from user input dynamically is not the best idea.根据用户输入动态构建 SQL 语句并不是最好的主意。 It is better to use prepared statements.最好使用准备好的语句。 However there seems not be an easy way to perform patch updates with the JPA EntityManager in this case.但是,在这种情况下,似乎没有一种简单的方法可以使用 JPA EntityManager 执行补丁更新。

Setting multiple values is possible with JDBC. The following example show the usage with Spring's JdbcTemplate : JDBC 可以设置多个值。以下示例显示了Spring 的 JdbcTemplate的用法:

val items: List<Item> = ...

val statement = 
    """
    insert into item (field1, field2)
    values (?,?)
    on conflict on constraint arbeit_pkey
    do update set 
        field1 = excluded.field1,
        field2 = excluded.field2
    """
jdbcTemplate.batchUpdate(
    statement, 
    object : BatchPreparedStatementSetter {
        override fun setValues(statement: PreparedStatement, index: Int) {
            val item = items[index]
            statement.setString(1, item.field1)
            statement.setInt(2, item.field2)
        }
        override fun getBatchSize(): Int = items.size
    }
)

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何防止JPA中的sql注入 - How to prevent sql injection in JPA 如何使用 JPA 和 Hibernate 防止 SQL 注入? - How to prevent SQL Injection with JPA and Hibernate? 这个 JPA 查询是否容易受到 SQL 注入的影响? - Is this JPA query vulnerable to SQL injection? 如何在Java中构建查询以防止使用预准备语句进行SQL注入 - How to build query in Java to prevent SQL injection using prepared statement JPA 查询离开 SQL 故意注入 - JPA Query leave SQL Injection intentionally JPA本机查询(SQL视图) - JPA Native Query (SQL View) 本机 sql 查询和 JPA 的性能 - Performance of native sql query and JPA 如何防止 JSP 中的 SQL 注入? - how to prevent SQL Injection in JSP? 本机SQL查询-SQL注入攻击 - Native sql query- SQL Injection Attack 获取 JPA 本机插入查询的生成标识符 - Getting generated identifier for JPA native insert query
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM