Sto lavorando con Hibernate per proteggere il mio sito Web da SQL Injection.Hibernate Criteria Api protegge completamente da SQL Injection
Ho sentito dire che Hibernate Criteria API è più potente di HQL. Hibernate Criteria Api protegge completamente da SQL Injection?
Sì, lo fa.
I criteri API e i parametri di query in HQL o JPQL evitano entrambi i parametri e non eseguono SQL dannoso.
La vulnerabilità viene esposta solo se si concatenano semplicemente i parametri nella query. Quindi qualsiasi SQL dannoso diventa parte della query.
MODIFICA OWASP dispone di SQL injection prevention cheatsheet. L'utilizzo di query di criteri è equivalente all'opzione di difesa 1: utilizzo di istruzioni preparate.
qual è la conclusione. il criterio API protegge completamente i miei siti Web da SQL Injection? –
@ яєη נ ιтн.я Ci scusiamo per il suono inconcludente. Sì, lo fa. – kostja
@ яєη נ ιтн.я ciò che effettivamente ti protegge dall'iniezione SQL è il 'Dichiarazioni' che vengono utilizzate con criteri, HQL o anche puro JDBC, se lo usi correttamente. La conclusione è: non concatenare String per creare la tua query. Usa l'API. –