[英]Does Hibernate Criteria Api completely protect from SQL Injection
我正在使用Hibernate保护我的网站免受SQL注入。
我听说Hibernate Criteria API比HQL更强大。 Hibernate Criteria Api是否完全防止SQL注入?
是的,它确实。
Criteria API以及HQL或JPQL中的查询参数都会转义参数,并且不会执行恶意SQL。
只有将参数连接到查询中时,才会暴露此漏洞。 然后,任何恶意SQL都会成为您查询的一部分。
编辑 OWASP具有SQL注入预防备忘单 。 使用条件查询等同于防御选项1:使用预准备语句。
Java / Hibernate Criteria查询API是否可以防止注入?
[英]Does the Java/Hibernate Criteria Query API Protect Against Injection?
如何从 Hibernate Criteria API 获取 SQL(*not* 用于日志记录)
[英]How to get SQL from Hibernate Criteria API (*not* for logging)
通过Hibernate-Criteria和Session.save(对象)进行SQL注入
[英]SQL Injection through Hibernate-Criteria & Session.save(object)
如何限制Hibernate仅从Criteria API中涉及多个实体的根实体生成带有列的SQL查询
[英]How to restrict Hibernate to generate SQL query with columns only from root entity in Criteria API involving multiple entities
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
