如何防止hql注入

最新推荐文章于 2020-12-18 18:24:41 发布
最新推荐文章于 2020-12-18 18:24:41 发布
阅读量456 收藏
点赞数
分类专栏: hibernate 文章标签: Hibernate C++ C C# SSH
在ssh框架下会经常用到hql查询,和jdbc编程一样我们也需防止hql注入。所谓的hql注入,总结起来就是利用表单输入“'”以及“or”等sql语法的保留字或语法符号,来巧妙的避开常用的验证的手段而已。

通常的解决办法就是进行动态参数设置。具体做法是:
先将hql拼装起来。用"?"代替变量值。然后在hibernate里将参数值动态注入。表达起来比较费劲。还是贴代码吧: 


/**
 * 通过hql分页查询
 * @param form
 * @param pageNo
 * @param pageSize
 */
public Page pageByHql(TeamForm form, int pageNo, int pageSize){
    String teamCode = form.getTeamCode();
    String teamName = form.getTeamName();
    String principal = form.getTeamPrincipal();
    String eventCode = form.getSecondType();
    if(StringUtils.isEmpty(eventCode))
        eventCode = form.getFirstType();		//如果没选小类,则按大类来查询

    //
    StringBuffer hql = new StringBuffer("select distinct c from Team c ");
    List params = new ArrayList();
    if(eventCode!=null && !eventCode.equals(""))
        hql.append(",PreEventTypeRes p ");
    hql.append(" where 1=1 ");
    if(teamCode!=null && !teamCode.equals("")){
        hql.append(" and c.teamCode like ?");
        params.add("%"+teamCode+"%");
    }
    if(teamName!=null && !teamName.equals("")){
        hql.append(" and c.teamName like ?");
        params.add("%"+teamName+"%");
    }
    if(principal!=null && !principal.equals("")){
        hql.append(" and c.teamPrincipal like ?");
        params.add("%"+principal+"%");
    }
    if(eventCode!=null && !eventCode.equals("")){
        hql.append(" and c.teamId=p.resId and p.eventTypeCode like ?");
        params.add("%"+eventCode+"%");
    }
    hql.append(" and c.delSign!='1' ");
    hql.append(" order by c.teamCode asc");
    return teamDao.findPageByHQL(hql.toString(), pageNo, pageSize,params.toArray());
}


上面代码的思路就是先拼装hql串的时间全部用"?"代替变量。同时将变量值装入一个list中。本来是要求数组的(后面将提到dao层的实现),因为数组长度不能动态增长,所以先用list最后进行转换

这里有一点要注意:一般我们直接拼hql里总要对变量加上单引号。但在参数list里不能加。hibernate会为我们自动加上。我想这也许就是为什么这种方式可以防止hql注入的关键所在吧。

为了便于理解下面,将最后的核心实现代码贴出来。 

/**
	 * <ol>
	 * <li> 返回指定的一页记录数。用于翻页查询。返回对象列表
	 * </ol>
	 * 
	 * @param queryString
	 *            final String -查询条件
	 * @param currentPage
	 *            final int -返回记录起始点
	 * @param rows
	 *            final int -返回记录数
	 * @return -结果集
	 */
	protected List findPageListByHQL(final String queryString, final int currentPage, final int rows, final Object[] params) throws DAOException {
		try {
			return getHibernateTemplate().executeFind(new HibernateCallback() {
				public Object doInHibernate(Session session)
						throws HibernateException {
					Query q = session.createQuery(queryString);

					// 设置参数
					if (params != null){
						 for (int i = 0; i < params.length; i++) {
					            q.setParameter(i, params[i]);
					        }
					}

					if (currentPage > -1) {
						q.setFirstResult((currentPage - 1) * rows);
					}
					if (rows > -1) {
						q.setMaxResults(rows);
					}
					List list = q.list();
					if (list == null) {
						list = Collections.EMPTY_LIST;
					}
					return list;
				}
			});
		} catch (DataAccessException e) {
			logger.error(e.getMessage(), e);
			throw new DAOException(e);
		}
	}


当然,如果不分页就不必写那多代码了直接用getHibernateTemplate().find(String queryString, Object[] values)就可以了。。

关键的是防人之心不可无啊。哈。。。
ll_feng
关注
专栏目录
Hibernate HQL注入攻击入门
alexhill2009的博客
04-25 517
SQL注入是一种大家非常熟悉的攻击方式,目前网络上有大量存在注入漏洞的DBMS(如MySQL,Oracle,MSSQL等)。但是,我在网络上找不到针对Hibernate查询语言的相关资源。因此本文总结了笔者在阅读文档和不断试验过程中的一些经验技巧。 什么是Hibernate Hibernate是一种ORM框架,用来映射与tables相关的类定义(代码),并包含一些高级特性,包括缓存以...
防止SQL注入dbq
04-06
4. **使用ORM框架的安全特性**:例如Hibernate的`hibernate.query.instruction.strict`配置项,可防止不安全的HQL注入。 5. **使用SQL注入检测工具**:如OWASP ZAP、SQLMap等,定期扫描系统,发现并修复潜在的SQL...
Hibernate使用中防止SQL注入的几种方案
01-20
Hibernate使用中防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。     在获取便利操作的同时,SQL的注入问题也值得我们的密切注意,下面就来谈谈几点如何避免SQL注入:     1.对参数名称进行绑定: Query query=session.createQuery(hql); query.setString(“name”,name);     2.对参数位置进行邦定: Query query=session.createQuery(hql);
HQL注入防御
雾里华的博客
12-18 610
缘由:由于客户方漏扫工具,扫描判断我们系统中动态HQL语句有注入风险。(画外音:其实这些参数都是内部使用的,根本没有外部侵入可能) 解决:防御sql注入最好的办法就是预编译 对于参数的很好解决: HQL参数名称绑定 Query query=session.createQuery(“from User user where user.name=:customername and user:customerage=:age ”); query.setString(“customername”,.
hibernate 防sql注入模糊查询(like).
Aeyewp的博客
06-27 3072
接下来我们只介绍一种模糊查询的防注入方法,hql传参。 sql查询的防注入模糊查询暂时不会,这里介绍一种hql查询的防注入方式,由于我的查询对象是有对应的实体类的,所以选择hql查询。String query="from UserEntity where mobile like :mobile and name like :name"; Query queryObject = this.syste
HQL查询语句拼接规范,避免SQL注入攻击
施勇
07-26 7729
软件开发过程中不仅要考虑软件的功能实现,还要考虑软件的安全性,如果一个软件系统安全性做得不好,一旦被黑客攻击,后果不堪设想。对于B/S系统,SQL注入攻击就是一个常见的安全隐患,下面我们来看下如何在日常开发中避免SQL注入攻击。SQL注入简介 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数
hibernate注入的的方法
kuaile863的专栏
01-04 175
    在hibernate中有防注入的的方法这是为了避免在页面提交时给数据库带来不必要的麻烦 例如: String sql=“from table where name=‘”+name+“‘”; 那么用户输入:nan‘ and pass =’123 这样就会有安全漏洞,使程序报错。   Hibernate 中有一种简单的机制可以避免 永远也不要写这样的代码:      String...
Hibernate-HQL.rar_HQL_hibernate hql
09-23
5. 参数化查询:避免SQL注入,提高代码复用,如“SELECT u FROM User u WHERE u.name=:name”,然后设置参数“query.setParameter("name", "张三")”。 五、HQL的执行 在Hibernate中,通过Session对象的createQuery...
hibernate防止sql注入对参数赋值传参数实例
ljlj的专栏
05-21 2665
Hibernate中对动态查询参数绑定提供了丰富的支持,那么什么是查询参数动态绑定呢?其实如果我们熟悉传统JDBC编程的话,我们就不难理解查询参数动态绑定,如下代码传统JDBC的参数绑定:  PrepareStatement pre=connection.prepare(“select * from User whereuser.name=?”);  pre.setString(1,”张三
hql取满足条件最新一条记录_编程基础 |HQL注入小结
weixin_39647499的博客
12-01 846
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!课程目录第一节编程基础 | PHP代码审计(上)第二节编程基础| PHP代码审计(下)第三节代码审计| zzcms8.2第四节代码审计 | Wavsep靶场审计防御1.4 HQL注入小结Hibernate:Hibernate是一个开放源代码的对象关系映射框架,...
Hibernate泛型DAO
javakevin的专栏
09-17 1123
以下的文章转载自http://kevintse.javaeye.com/blog/151090原文地址:http://www.hibernate.org/328.html 这是一个来自CaveatEmptor实例应用,在JDK5.0下实现的DAO模式. 这个模式在Java Persistence With Hibernate里面也有讲到. 另外有两个链接,可能会对你有用,
彻底干掉恶心的 SQL 注入漏洞, 一网打尽!
Java笔记虾
09-21 701
来源:b1ngz.github.io/java-sql-injection-note/0x01简介0x02 JDBC介绍说明0x03 Mybatis介绍说明更多场景0x04 JPA和休眠...
防止SQL注入的五种方法
热门推荐
路漫漫~
05-09 4万+
一、SQL注入简介 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。     SQL注入是比较常见的
SQL或HQL预编译语句,能够防止SQL注入,但是不能处理%和_特殊字符
aty
09-04 4113
最近项目在做整改,将所有DAO层的直接拼接SQL字符串的代码,转换成使用预编译语句的方式。个人通过写dao层的单元测试,有以下几点收获。 dao层代码如下 //使用了预编译sql public List selectConfigBySuffix(String suffix) { String hql = "from IndvConfigModel where configKey
Hibernate一些防止SQL注入的方式
赵玉的专栏
12-21 1万+
Hibernate一些防止SQL注入的方式   Hibernate在操作数据库的时候,有以下几种方法来防止SQL注入     1.对参数名称进行绑定:     2.对参数位置进行邦定:     3.setParameter()方法:     4.setProperties()方法:     5.HQL拼接方法,这种方式是最常用,而且容易忽视且容易被注入的,通常做
防止sql注入的方法
qq_36031634的博客
09-06 3079
一、SQL注入简介     SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击   三
Hibernate防止SQL注入攻击的方法
mdifferent的专栏
05-15 7689
<br /> <br />如果在查询字段中输入单引号"'",则会报错,这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql,实际上这就是SQL注入漏洞,后来我在前台和后台都对输入的字符进行了判断。<br /> <br />永远也不要写这样的代码:<br />     String queryString = "from Item i where i.description like '" + searchString + "'";<br />     List result = session.
如何防止sql注入(全)
Darkjazz11的博客
01-18 8770
定义:以用户或者外部的输入动态构造SQL查询的命令,将可能改变SQL查询语句本来的语义,从而导致执行任意的SQL命令,泄露或者篡改SQL数据库的敏感数据。 基本例子: 原sql:String name = request.getParameter("name"); … ResultSet rs = conn.createStatement().executeQuery("SELECT Data F...
java过滤器防止sql注入
最新发布
06-02
为了防止 SQL 注入攻击,可以通过在 Java Web 应用中使用过滤器(Filter)来拦截和处理用户输入的请求。以下是一些常见的方法: 1. 对用户输入的数据进行过滤和验证,比如限制输入长度、检查数据类型等。 2. 使用预编译的 SQL 语句,而不是拼接字符串的方式来构建 SQL 语句。 3. 使用框架提供的防止 SQL 注入的方法,比如 HibernateHQL 查询语言。 4. 对于特殊字符(如单引号、反斜杠等)进行转义处理,比如使用 Apache Commons Lang 库的 StringEscapeUtils.escapeSql() 方法。 5. 在过滤器中使用一些防止 SQL 注入的工具,比如 OWASP ESAPI(Enterprise Security API)。 总之,防止 SQL 注入攻击需要从多个方面入手,包括代码实现和框架选择等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值