14

私はHibernateと協力して、自分のWebサイトをSQLインジェクションから保護しています。

HibernateCriteriaAPIはHQLよりも強力だと聞きました。Hibernate Criteria ApiはSQLインジェクションから完全に保護しますか?

4

1 に答える 1

18

はい、そうです。

基準APIと、HQLまたはJPQLのクエリパラメーターはどちらもパラメーターをエスケープし、悪意のあるSQLを実行しません。

この脆弱性は、パラメーターをクエリに連結するだけの場合にのみ明らかになります。次に、悪意のあるSQLがクエリの一部になります。

編集OWASPは、SQLインジェクション防止に関するチートシートを備えています。基準クエリを使用することは、防御オプション1:準備されたステートメントを使用することと同等です。

于 2013-02-25T11:31:41.513 に答える