hibernate防止sql注入的方法

最新推荐文章于 2024-06-04 09:07:32 发布
最新推荐文章于 2024-06-04 09:07:32 发布
阅读量5.7k 收藏 8
点赞数 1
分类专栏: java 文章标签: hibernate sql注入

刚刚进入这家公司,项目组给我分配的是一个新的系统的开发工作。当然,作为技术的沉淀,并不是完全的从无到有的。

在整合了框架以后,是将一些久经考验的基础代码给迁移到新项目中。这一次需要将持久层修改为用hibernate来实现。在编写持久层的时候,我一开始大量采用了字符串拼接的方式来完成对sql语句的编写,而这一点,被我们组里的老人善意指点了出来:“这么写,如果遇到别人恶意注入怎么办”。

嗯,一开始完全没有意识到这一点。所以我上网查阅了资料,对sql注入以及hibernate防止sql注入的几个方法做一点自我总结,这也算是工作中的一个收获。

1.对sql注入的简单理解

比如校验用户是否在数据库中存在,如果存在则返回true,sql语句可以是:select * from t_user t where t.user_id = + ' id '。

如果变量id被恶意注入,sql语句变成:select * from t_user t where t.user_id = + ' 123 or  1 = 1 ',那么where就永远为真。

这种风险,我们需要规避,所以永远不要写以下这种代码:

String sql = "select * from t_user t where t.user_id = ' "+ id + " ' ";

List result = session.createQuery(sql).list();

2.使用hibernate所支持的解决方案,参数绑定来解决sql注入的问题

参数绑定有2种办法:使用positional parameter或者named parameter。


以下的内容为转载内容,原文:http://blog.csdn.net/oathevil/article/details/7228613

使用positional parameter

String queryString = "from Item item "
                           + "where item.description like ? "
                           + "and item.date > ?";
List result = session.createQuery(queryString)
                  .setString(0, searchString)
                  .setDate(1, minDate)
                  .list();

可读性强不够强,而且可维护性差,如果我们的查询稍微改变一点,将第一个参数和第二个参数改变一下位置:

String queryString = "from Item item "
                            + "where item.date > ? "
                           + "and item.description like ?";

这样我们的代码中涉及到位置的地方都要修改,所以我们强烈建议使用named parameter方式进行参数绑定。

使用named parameter

使用named parameter,我们重新写上面的查询语句:

String queryString = "from Item item where item.description like :searchString";

冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:

    List result = session.createQuery(queryString)
                      .setString("searchString", searchString)
                      .list();

因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!

如果有多个参数需要被帮定,我们这样处理:

String queryString = "from Item item "
                           + "where item.description like :searchString "
                           + "and item.date > :minDate";
List result = session.createQuery(queryString)
                  .setString("searchString", searchString)
                   .setDate("minDate", minDate)
                  .list();


最后,在named parameter中可能有一个参数出现多次的情况,应该怎么处理呢?

String userSearch = "from User u where u.username like :searchString"
                           + " or u.email like :searchString";
List result = session.createQuery(userSearch)
                  .setString("searchString", searchString)
                   .list();

不要使用

为了防止SQL注入,避免使用拼凑SQL语句的方式!!!

menger4java
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hibernate使用中防止SQL注入的几种方案
01-20
以下是Hibernate防止SQL注入的几种策略: 1. **对参数名称进行绑定**: 这是Hibernate提供的标准方法,通过创建HQL(Hibernate Query Language)查询并使用`setString()`方法来设置参数。例如: ```java Query...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
hibernate执行sql语句步骤
SeaHBJ的博客
09-11 815
要先用hibernate执行sql语句,必须先配置好Session。下面看下配置Session的方式。1.初始化hibernate的配置管理类Configuration。2.通过Configuration类来创建sessionFactory。3.通过sessionfactory生成session实例。整个步骤大概为Configuration config=new Configuration().c
Mybatis和Hibernate防止SQL注入
热门推荐
琦彦
01-29 1万+
SQL是如何注入的 SQL注入是目前黑客最常用的攻击手段,它的原理是利用数据库对特殊标识符的解析强行从页面向后台传入。改变SQL语句结构,达到扩展权限、创建高等级用户、强行修改用户资料等等操作。 为什么这么说,下面就以JAVA为例进行说明: 假设数据库中存在这样的表: table user( id varchar(20) PRIMARY KEY , n...
使用Hibernate防止SQL注入方法
weixin_34148456的博客
07-10 157
之前写代码,往后台传入一个组织好的String类型的Hql或者Sql语句,去执行。 这样其实是很蠢的一种做法!!!! 举个栗子~~ 我们模仿一下用户登录的场景: 常见的做法是将前台获取到的用户名和密码,作为字符串动态拼接到查询语句中,然后去调用数据库查询~查询的结果不为null就代表用户存在,则登陆成功,否则登录失败! 正常情况下用户输入账号是123456和密码123(假设是错误的密码或...
Hibernate防止SQL注入攻击的方法
hb_peng的专栏
02-28 2719
如果在查询字段中输入单引号"'",则会报错,这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql,实际上这就是SQL注入漏洞,后来我在前台和后台都对输入的字符进行了判断。   永远也不要写这样的代码:      String queryString = "from Item i where i.description like '" + searchString + "'";
hibernate防止sql注入
aoquan8892的博客
06-07 332
Hibernate中对动态查询参数绑定提供了丰富的支持,那么什么是查询参数动态绑定呢?其实如果我们熟悉传统JDBC编程的话,我们就不难理解查询参数动态绑定,如下代码传统JDBC的参数绑定:PrepareStatement pre=connection.prepare(“select * from User where user.name=?”);pre.setString(1,”...
hibernate规避SQL注入实例
wuxun1997的专栏
12-17 232
  项目被检测出SQL注入,注入url如:http://127.0.0.1:8080/Test/wlf/getServiceInfo.html?province=%25E6%25B5%2599%25E6%25B1%259F50760358&timeType=1   利用常用SQL注入工具可获取数据库详细情况如下所示:   sqlmap命令:   注入漏洞信息:   针对SQL注入漏洞...
Hibernate一些防止SQL注入的方式
赵玉的专栏
12-21 1万+
Hibernate一些防止SQL注入的方式   Hibernate在操作数据库的时候,有以下几种方法防止SQL注入     1.对参数名称进行绑定:     2.对参数位置进行邦定:     3.setParameter()方法:     4.setProperties()方法:     5.HQL拼接方法,这种方式是最常用,而且容易忽视且容易被注入的,通常做
hibernatesql注入in的写法
@素素~的博客
08-15 350
hibernatesql注入in的写法案例两种方式:如图注意: 案例 前几天在写到这样的代码时,in的防sql注入怎么都不好使,最终还是用循环拼出in(:value1,:value2...) 来处理,虽然换种方式问题解决了,但是还是不甘心为啥直接in的不行,闲来看看原来跟公司的框架有关,抽空看了一下公司封装的源码,发现没有对in的这种情况做处理,所以in的防sql注入肯定是不生效的,害,直接看吧 两种方式: list 和 数组 都可以 如图 注意: 用 query.setParameterLi
hibernate防止sql语句注入
wickedvalley
05-19 496
如果在查询字段中输入单引号"'",则会报错,这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql,实际上这就是SQL注入漏洞,后来我在前台和后台都对输入的字符进行了判断。 永远也不要写这样的代码:     String queryString = "from Item i where i.description like '" + searchString + "'";     Lis...
如何防止sql注入
12-14
防止SQL注入的关键在于确保应用程序能正确地验证、清理和处理用户输入。 1. **预编译语句(PreparedStatement)** 使用PreparedStatement是防止SQL注入的最佳实践之一。预编译语句将SQL模板和参数分开处理,使得...
防止SQL注入式攻击
08-11
6. **使用ORM(对象关系映射)框架**:如Hibernate或Entity Framework等,它们会自动处理SQL语句的构建,通常能更好地防止SQL注入。 7. **更新和维护**:保持数据库系统和应用程序的最新状态,及时修复已知的安全...
有效防止sql注入方法演示
09-08
本文将详细探讨如何有效防止SQL注入,以及展示一个具体的SQL注入攻击实例,并给出相应的防护措施。 一、SQL注入攻击背景 在B/S(Browser/Server)架构的应用程序中,SQL注入是常见的安全漏洞。当开发者没有正确地...
深入探索Stage #2:属性中的XSS注入技术
weixin_43822401的博客
06-04 680
在Web安全的学习旅程中,XSS(跨站脚本)注入是一个不可忽视的话题。"XSS Challenges"闯关游戏的Stage #2专为进阶学习者设计,专注于属性中的XSS注入技术。本文将详细介绍这一阶段的实操过程和关键概念。
【中科院1区】Matlab实现天鹰优化算法AO-RF锂电池健康状态估计算法研究.rar
最新发布
08-02
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
汽车行业数字化转型报告顶层规划设计.docx
08-02
汽车行业数字化转型报告顶层规划设计.docx
毕业设计,基于ASP.NET+SqlServer开发的企业投资价值分析系统,内含完整源代码,数据库,毕业论文
08-02
毕业设计,基于ASP.NET+SqlServer开发的企业投资价值分析系统,内含完整源代码,数据库,毕业论文 自中国证券市场产生以来,投资者进行投资理财迫切需要有一个科学的理论依据,在众多投资理论体系中,确定企业的价值和股票的价值,是一个重要的流派。著名的投资专家巴非特就是通过分析企业的内在价值,寻找价值被低估的股票,等到市场认可了该企业的价值,再将股票抛出,从而获得了的投机收益,其管理的基金也一度成为世界上最成功的投资基金之一。从西方国家理论界对相关领域的研究结果来看,也取得了一些成果,包括:CAPM 模型、 ICAPM模型、APT模型等,也有人用市盈率方法对股票进行定价。国内在相关的领域也取得了一些研究成果。然而,尽管国内外理论界研究成果较多,但真正适应中国证券市场、适应中国广大投资者的切实有效的理论至今仍是一个空白。在中国这样一个特殊的背景下,股权结构的特殊性、证券市场初创时期的投资性等因素,使得一些模型受到挑战,而且这些模型的精确化程度也受到限制,有必要探求新的思路和方法,为广大的投资者提供切实可靠的操作依据。对股票的价值进行评估必须综合尽可能全面的因素才能使得这些评估更加科
Java 防止SQL注入方法
03-31
1. PreparedStatement 使用PreparedStatement代替Statement,PreparedStatement是预编译的SQL语句,可以有效防止SQL注入攻击。 2. 输入校验 对用户输入的数据进行校验,只允许输入合法的数据,过滤掉特殊字符。 3. 使用ORM框架 使用ORM框架(例如Hibernate、MyBatis)可以有效防止SQL注入攻击,ORM框架会自动处理SQL语句,防止注入攻击。 4. 数据库权限控制 对不同用户赋予不同的数据库权限,限制用户操作数据库的范围,防止恶意用户通过SQL注入攻击获取敏感数据。 5. 使用加密算法 使用加密算法对敏感数据进行加密,即使被攻击者获取到数据也无法直接读取,提高数据安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值