Prevenzione contro SQL Injection in Hibernate

Question

Ho usato hibernate per interagire con il mio database, ora volevo rendere il mio livello di database sicuro contro SQL Injection, quindi ho fatto qualche ricerca e ho scoperto che le mie query dovevano essere parametrizzate, così fa significa se ho appena strutturare la mia query HQL come:

List mothers = session.createQuery(
"select mother from Cat as cat join cat.mother as mother where cat.name = ?") 
.setString(0, name) 
.list(); 

Poi è parametrizzato e protetto da SQL Injection, o c'è qualche altra cosa che ho bisogno di fare ...

Un'altra cosa è stato menzionato - "Evita sempre i tuoi dati "Come si può ottenere?

Answer 1

Non so su setString() ma se è lo stesso di setParameter() allora sì, è sufficiente farlo per evitare SQL injection.

Aggiornamento

In fuga di dati, significa che è necessario assicurarsi che non si memorizzano valori pericolosi nel database.

Un esempio veloce è per esempio se si passa nell'argomento

String name = "<script>alert('Hello');</script>"; 
//insert this name into Mother, and then when you load it from the database, it will be displayed  

List mothers = session.createQuery(
"select mother from Cat as cat join cat.mother as mother where cat.name = ?") 
.setString(0, name) 
.list(); 

per la tua ricerca, allora la prossima volta che si carica questo dal database e lo rendono nel browser Web, verrà eseguito lo script .
È necessario assicurarsi che il framework sfugga a tutti i caratteri non consentiti, ovvero: modifica < a < prima di inserirlo nel database.
Se il tuo framework non lo fa, devi farlo manualmente. Ci sono tonnellate di librerie là fuori che escapes correttamente il codice per te. Dai un'occhiata a this question per esempio e le risposte lì.