Ho usato hibernate per interagire con il mio database, ora volevo rendere il mio livello di database sicuro contro SQL Injection, quindi ho fatto qualche ricerca e ho scoperto che le mie query dovevano essere parametrizzate, così fa significa se ho appena strutturare la mia query HQL come:Prevenzione contro SQL Injection in Hibernate
List mothers = session.createQuery(
"select mother from Cat as cat join cat.mother as mother where cat.name = ?")
.setString(0, name)
.list();
Poi è parametrizzato e protetto da SQL Injection, o c'è qualche altra cosa che ho bisogno di fare ...
Un'altra cosa è stato menzionato - "Evita sempre i tuoi dati "Come si può ottenere?
Ho esaminato il link che hai proposto .. le persone suggeriscono soluzioni per l'escape in HTML .. Esiste un altro tipo di escape richiesto ?? –
-1. La fuga di dati di input non è un buon approccio alla prevenzione dell'XSS. Il modo migliore è quello di sfuggire ai dati non attendibili quando li inserirai in un contesto pericoloso (come la pagina HTML), tenendo conto delle regole di quel contesto. Vedi anche [OWASP XSS Prevention Cheat Sheet] (http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet). Inoltre, la domanda era sull'iniezione SQL, non su XSS. – axtavt
@axtavt Se leggete la mia risposta e commentate all'interno del codice vedrete che accenno al fatto che i dati devono essere salvati al momento dell'inserimento nella tabella Madre. –