簡體 English 中英

Sonarqube 警告 sql 在我的 hibernate ZAC5C74B64B4B82352EF2F181AFFB5AC

[英]Sonarqube warned sql injection on the input-driven column name in my hibernate sql

原文 2021-12-14 09:08:26 1 1 java/ mysql/ hibernate/ sonarqube/ sql-injection

我的 java (Hibernate, MySql) 代碼采用輸入數據來決定我要更新哪一列，如下所示：

String hsql = "update People set " + inputColumnName + " = null";
Query query = myHibernateSession.createQuery(hsql);
query.executeUpdate();

但是，Sonarqube 說“更改此代碼以不直接從用戶控制的數據構造 SQL 查詢”。 無論如何我可以避免這個錯誤（修復這個或繞過 sonarqube 檢查而不關閉此規則）？

1 個解決方案

您需要將變量限制為列名並消除插入語句的可能性。 使用綁定變量會有所幫助，但請查看以下示例： https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html

SonarQube 誤報 SQL 注入

[英]SonarQube false positive SQL injection

Hibernate和SQL注入

[英]Hibernate and SQL injection

使用Hibernate防止SQL注入

[英]SQL injection prevention with hibernate

休眠，SQL Server 2016 = SQL 錯誤：207 - 無效的列名

[英]Hibernate, SQL Server 2016 = SQL Error: 207 - Invalid column name

如何才能最好地將OOP原則應用於游戲和其他輸入驅動的GUI應用程序？

[英]How can I best apply OOP principles to games and other input-driven GUI apps?

允許指定列名使其具有潛在的SQL注入風險

[英]Allowing column name to be specified makes it a potential SQL injection risk

用戶輸入的 SQL 注入問題

[英]SQL Injection issue for User Input

獲取java.sql.SQLException：無效的列名稱與休眠

[英]Getting java.sql.SQLException: Invalid column name with hibernate

如何使用 JPA 和 Hibernate 防止 SQL 注入？

[英]How to prevent SQL Injection with JPA and Hibernate?

Hibernate 本機查詢：無效的列名錯誤 SQL-17006

[英]Hibernate native query : Invalid Column Name Error SQL-17006

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 SonarQube 誤報 SQL 注入 Hibernate和SQL注入使用Hibernate防止SQL注入休眠，SQL Server 2016 = SQL 錯誤：207 - 無效的列名如何才能最好地將OOP原則應用於游戲和其他輸入驅動的GUI應用程序？允許指定列名使其具有潛在的SQL注入風險用戶輸入的 SQL 注入問題獲取java.sql.SQLException：無效的列名稱與休眠如何使用 JPA 和 Hibernate 防止 SQL 注入？ Hibernate 本機查詢：無效的列名錯誤 SQL-17006

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM