Come impedire SQL Injection in modalità di sospensione?

Sto sviluppando un'applicazione utilizzando la modalità ibernazione. Quando provo a creare una pagina di accesso, si verifica il problema di Sql Injection. Ho il codice seguente:Come impedire SQL Injection in modalità di sospensione?

@Component 
@Transactional(propagation = Propagation.SUPPORTS) 
public class LoginInfoDAOImpl implements LoginInfoDAO{ 

@Autowired 
private SessionFactory sessionFactory;  
@Override 
public LoginInfo getLoginInfo(String userName,String password){ 
    List<LoginInfo> loginList = sessionFactory.getCurrentSession().createQuery("from LoginInfo where userName='"+userName+"' and password='"+password+"'").list(); 
    if(loginList!=null) 
     return loginList.get(0); 
    else return null; 
      } 
     }

Come faccio a prevenire SQL Injection in questo scenario La creazione della sintassi tavolo del tavolo loginInfo è la seguente:?

create table login_info 
    (user_name varchar(16) not null primary key, 
    pass_word varchar(16) not null);

fonte

2012-12-31 Mr. Singthoi

Si prega di fare riferimento a questo collegamento [1]: http://stackoverflow.com/questions/4606505/prevention-against-sql-injection-in-hibernate –

Query q = sessionFactory.getCurrentSession().createQuery("from LoginInfo where userName = :name"); 
q.setParameter("name", userName); 
List<LoginInfo> loginList = q.list();

altri sono disponibili opzioni troppo , guarda questo simpatico article dal mkyong.

fonte

2012-12-31 13:48:36

Grazie, Come possiamo includere la password nella query ?? @ Petr Mensik –

Nello stesso modo in cui ho incluso l'userName –

Dovremmo sempre provare a utilizzare stored procedure in generale per evitare SQLInjection .. Se le stored procedure non sono possibili; dovremmo provare per le dichiarazioni preparate.

fonte

2012-12-31 13:50:27 Deepak

concordo, è tecnicamente migliore, a causa della velocità. tuttavia, nessun framework ORM che conosca in nessuna lingua genera stored procedure s. Sarebbe davvero bello se lo facessero. Ma poiché non lo fanno, e la produttività fornita dai quadri ORM è essenziale, le dichiarazioni preparate stanno per dominare. – Dennis

l'uso di stored procedure per tutto ciò che non è così saggio in ORM. le dichiarazioni preparate dovrebbero essere buone! – Diablo

È necessario utilizzare i parametri denominati per evitare l'iniezione sql. Inoltre (niente a che fare con SQL injection ma con sicurezza in generale) non restituisce il primo risultato ma usa getSingleResult quindi se ci sono più risultati per qualche motivo, la query fallirà con NonUniqueResultException e il login non sarà successo

Query query= sessionFactory.getCurrentSession().createQuery("from LoginInfo where userName=:userName and password= :password"); 
query.setParameter("username", userName); 
query.setParameter("password", password); 
LoginInfo loginList = (LoginInfo)query.getSingleResult();

fonte

2012-12-31 13:51:00 dimcookies

parametro posizionale in HQL

Query hqlQuery = session.createQuery ("da ordini come gli ordini dove orders.id =?");

Elenco risultati = hqlQuery.setString (0, "123-ADB-567-QTWYTFDL"). List();
nome parametro nella HQL

Query hqlQuery = session.createQuery ("da dipendenti come emp dove emp.incentive>: incentivo");

Elenco risultati = hqlQuery.setLong ("incentive", new Long (10000)). List();
lista parametro denominato in HQL

Elenco articoli = new ArrayList(); items.add ("libro"); Items.Add ("orologio"); Items.Add ("inchiostro");

Elenco risultati = session.createQuery ("dal carrello come carrello dove cart.item in (: itemList)"). SetParameterList ("itemList", items) .list();
JavaBean in HQL

Query hqlQuery = session.createQuery ("da libri come libri dove book.name =: nome e book.author =: autore");

Elenco risultati = hqlQuery.setProperties (javaBean).elenco();

nativo-SQL

Query sqlquery = session.createSQLQuery ("select * from Libri cui autore =?");

Risultati elenco = sqlQuery.setString (0, "Charles Dickens"). List();

fonte

2017-09-12 10:23:51

Come impedire SQL Injection in modalità di sospensione?

risposta

Problemi correlati