Hibernate如何避免sql注入攻击

如果在查询字段中输入单引号"'",则会报错,这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql,实际上这就是SQL注入漏洞,后来我在前台和后台都对输入的字符进行了判断。
 
 
 
永远也不要写这样的代码:
 
     String queryString = "from Item i where i.description like '" + searchString + "'";
      List result = session.createQuery(queryString).list();
 
    如果用户输入:foo' and callSomeStoredProcedure() and 'bar' = 'bar,则你的程序在执行一个简单查询后,还会调用某个存储过程,
 
这样你的程序就开了一个安全漏洞,如果用户偶尔输入了一个单引号,你的程序就可能报错。
 
 
 
永远也不要把未经检查的用户输入的值直接传给数据库!
 
幸运的时有一个简单的机制可以避免这种错误:
 
JDBC在绑定参数时有一个安全机制,它可以准确的将那些需要转义的字符进行转义(escape),
 
如上面的searchString,它被escape,不再作为一个控制字符了,而是作为被查询的匹配的字符串的一部分。(这里指的是prepared statement,而是用普通的statment不行,我试过)。
 
另外,如果我们使用参数绑定,还可以提高数据库的执行效率,prepared statement语句被编译一次后,被放在cache中,就不再需要编译,可以提高效率。
 
参数绑定有2种办法:使用positional parameter或者named parameter。
 
Hibernate支持JDBC样式的positional parameter(查询字符串中使用?),它同使用named parameter的效果一样(查询字符串中使用:)。
 
使用named parameter
 
使用named parameter,我们重新写上面的查询语句:
 
String queryString = "from Item item where item.description like :searchString";
 
冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:
 
    List result = session.createQuery(queryString)
                       .setString("searchString", searchString)
                       .list();
 
因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!
 
如果有多个参数需要被帮定,我们这样处理:
 
String queryString = "from Item item "
                            + "where item.description like :searchString "
                            + "and item.date > :minDate";
 List result = session.createQuery(queryString)
                   .setString("searchString", searchString)
                    .setDate("minDate", minDate)
                   .list();
 
使用positional parameter
 
    如果你喜欢,也可以使用positional parameter:
 
String queryString = "from Item item "
                            + "where item.description like ? "
                            + "and item.date > ?";
 List result = session.createQuery(queryString)
                   .setString(0, searchString)
                   .setDate(1, minDate)
                   .list();
 
这段代码可读性强不如上面的强,而且可维护性差,如果我们的查询稍微改变一点,将第一个参数和第二个参数改变一下位置:
 
String queryString = "from Item item "
                             + "where item.date > ? "
                            + "and item.description like ?";
 
这样我们的代码中涉及到位置的地方都要修改,所以我们强烈建议使用named parameter方式进行参数绑定。
 
最后,在named parameter中可能有一个参数出现多次的情况,应该怎么处理呢?
 
String userSearch = "from User u where u.username like :searchString"
                            + " or u.email like :searchString";
 List result = session.createQuery(userSearch)
                   .setString("searchString", searchString)
                    .list();
 
不要使用
 
为了防止SQL注入,避免使用拼凑SQL语句的方式!!!
 
 
 
在Hibernate+Spring中getHibernateTemplate()返回的对象可以调用find(String queryString, Object value...Object value)来实现named parameter。比如:
 

        Date startTime = new Date();


        Date endTime = new Date();


      String queryString = "from SdmsRacalertLog as log where log.alertTime between :startTime and :endTime";
 

      return getHibernateTemplate().find(queryString, startTime, endTime);

 

文章出自:http://blog.csdn.net/woshisap/article/details/7824688

 

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值