hibernate防止sql注入的方法

最新推荐文章于 2025-03-21 14:33:24 发布
最新推荐文章于 2025-03-21 14:33:24 发布
阅读量5.9k 收藏 8
点赞数 1
分类专栏: java 文章标签: hibernate sql注入

刚刚进入这家公司,项目组给我分配的是一个新的系统的开发工作。当然,作为技术的沉淀,并不是完全的从无到有的。

在整合了框架以后,是将一些久经考验的基础代码给迁移到新项目中。这一次需要将持久层修改为用hibernate来实现。在编写持久层的时候,我一开始大量采用了字符串拼接的方式来完成对sql语句的编写,而这一点,被我们组里的老人善意指点了出来:“这么写,如果遇到别人恶意注入怎么办”。

嗯,一开始完全没有意识到这一点。所以我上网查阅了资料,对sql注入以及hibernate防止sql注入的几个方法做一点自我总结,这也算是工作中的一个收获。

1.对sql注入的简单理解

比如校验用户是否在数据库中存在,如果存在则返回true,sql语句可以是:select * from t_user t where t.user_id = + ' id '。

如果变量id被恶意注入,sql语句变成:select * from t_user t where t.user_id = + ' 123 or  1 = 1 ',那么where就永远为真。

这种风险,我们需要规避,所以永远不要写以下这种代码:

String sql = "select * from t_user t where t.user_id = ' "+ id + " ' ";

List result = session.createQuery(sql).list();

2.使用hibernate所支持的解决方案,参数绑定来解决sql注入的问题

参数绑定有2种办法:使用positional parameter或者named parameter。


以下的内容为转载内容,原文:http://blog.csdn.net/oathevil/article/details/7228613

使用positional parameter

String queryString = "from Item item "
                           + "where item.description like ? "
                           + "and item.date > ?";
List result = session.createQuery(queryString)
                  .setString(0, searchString)
                  .setDate(1, minDate)
                  .list();

可读性强不够强,而且可维护性差,如果我们的查询稍微改变一点,将第一个参数和第二个参数改变一下位置:

String queryString = "from Item item "
                            + "where item.date > ? "
                           + "and item.description like ?";

这样我们的代码中涉及到位置的地方都要修改,所以我们强烈建议使用named parameter方式进行参数绑定。

使用named parameter

使用named parameter,我们重新写上面的查询语句:

String queryString = "from Item item where item.description like :searchString";

冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:

    List result = session.createQuery(queryString)
                      .setString("searchString", searchString)
                      .list();

因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!

如果有多个参数需要被帮定,我们这样处理:

String queryString = "from Item item "
                           + "where item.description like :searchString "
                           + "and item.date > :minDate";
List result = session.createQuery(queryString)
                  .setString("searchString", searchString)
                   .setDate("minDate", minDate)
                  .list();


最后,在named parameter中可能有一个参数出现多次的情况,应该怎么处理呢?

String userSearch = "from User u where u.username like :searchString"
                           + " or u.email like :searchString";
List result = session.createQuery(userSearch)
                  .setString("searchString", searchString)
                   .list();

不要使用

为了防止SQL注入,避免使用拼凑SQL语句的方式!!!

Hibernate使用中防止SQL注入的几种方案
01-20
Hibernate使用中防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。     在获取便利操作的同时,SQL注入问题也值得我们的密切注意,下面就来谈谈几点如何避免SQL注入:     1.对参数名称进行绑定: Query query=session.createQuery(hql); query.setString(“name”,name);     2.对参数位置进行邦定: Query query=session.createQuery(hql);
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预防SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL...
Hibernate防止SQL注入攻击的方法
mdifferent的专栏
05-15 7785
<br /> <br />如果在查询字段中输入单引号"'",则会报错,这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql,实际上这就是SQL注入漏洞,后来我在前台和后台都对输入的字符进行了判断。<br /> <br />永远也不要写这样的代码:<br />     String queryString = "from Item i where i.description like '" + searchString + "'";<br />     List result = session.
在 Java 中预防 SQL 注入,从零基础到精通,收藏这篇就够了!
最新发布
韩束一叶子
03-21 1305
场景安全做法高风险做法(避免!执行 SQL 查询使用参数化拼接字符串生成 SQL动态表名/列名白名单校验合法值直接拼接用户输入输入验证正则表达式白名单过滤仅在前端验证或不做验证错误信息处理记录日志,返回通用错误提示返回详细数据库错误信息ORM 框架优先使用 Hibernate/JPA 的 Criteria 或 HQL手动拼接 HQL 或 JPQL关键点绝不信任用户输入:所有外部输入(包括 HTTP 请求参数、Cookie、Headers)均需验证和转义。代码审查。
Hibernate防止SQL注入
HK学习
02-11 275
Hibernate防止SQL注入   PS:本文章来自于互联网,主要用于学习之用,无任何商业利益。如有侵权,请作者与本人联系,本人保证在24给予删除。 今天读《Hibernate In Action》,看到有关的SQL中可能被注入单引号的问题 前阶段我做完了一个系统,如果在查询字段中输入单引号"'",则会报错,这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql,实际上...
hibernate防止sql注入
aoquan8892的博客
06-07 389
Hibernate中对动态查询参数绑定提供了丰富的支持,那么什么是查询参数动态绑定呢?其实如果我们熟悉传统JDBC编程的话,我们就不难理解查询参数动态绑定,如下代码传统JDBC的参数绑定:PrepareStatement pre=connection.prepare(“select * from User where user.name=?”);pre.setString(1,”...
Hibernate一些防止SQL注入的方式
热门推荐
赵玉的专栏
12-21 1万+
Hibernate一些防止SQL注入的方式   Hibernate在操作数据库的时候,有以下几种方法防止SQL注入     1.对参数名称进行绑定:     2.对参数位置进行邦定:     3.setParameter()方法:     4.setProperties()方法:     5.HQL拼接方法,这种方式是最常用,而且容易忽视且容易被注入的,通常做
JDBC如何有效防止SQL注入
12-14
使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译的SQL语句将参数化查询与实际值分离,从而阻止恶意SQL代码注入。例如,而不是拼接字符串形成SQL: ```java String sql = "SELECT * FROM ...
有效防止sql注入方法演示
09-08
本文将详细探讨如何有效防止SQL注入,以及展示一个具体的SQL注入攻击实例,并给出相应的防护措施。 一、SQL注入攻击背景 在B/S(Browser/Server)架构的应用程序中,SQL注入是常见的安全漏洞。当开发者没有正确地...
使用Hibernate防止SQL注入方法
weixin_34148456的博客
07-10 212
之前写代码,往后台传入一个组织好的String类型的Hql或者Sql语句,去执行。 这样其实是很蠢的一种做法!!!! 举个栗子~~ 我们模仿一下用户登录的场景: 常见的做法是将前台获取到的用户名和密码,作为字符串动态拼接到查询语句中,然后去调用数据库查询~查询的结果不为null就代表用户存在,则登陆成功,否则登录失败! 正常情况下用户输入账号是123456和密码123(假设是错误的密码或...
hibernate注入的三种方式
06-16
hibernate注入的三种方式
hibernatesql防止注入的问题
yuke98727的博客
05-03 1849
//对参数拼接sql的时候,//replaceAll("'","''")即可.即把单引号替换成双单引号 public List findDeviceUsers(final String devMac,final String serviceId){ return getHibernateTemplate().execute(new HibernateCallback>() {
hibernatesql注入的一种方法.
Aeyewp的博客
06-27 859
本次我们将介绍一种防注入的方式:传参。 这也是我在学习过程中遇到的第一种防注入方法。String sql="select * from table_name where name=? "; List list = this.systemService.findForJdbc(sql, "张三");这样通过传参的方式可以将恶意的sql语句当做字符串处理。做到防注入的功能。
hibernate注入的的方法
kuaile863的专栏
01-04 212
    在hibernate中有防注入的的方法这是为了避免在页面提交时给数据库带来不必要的麻烦 例如: String sql=“from table where name=‘”+name+“‘”; 那么用户输入:nan‘ and pass =’123 这样就会有安全漏洞,使程序报错。   Hibernate 中有一种简单的机制可以避免 永远也不要写这样的代码:      String...
hibernate:关于sql注入问题设计in语法
太阳芽芽
12-10 411
好长时间不写,连文章入口在哪都不知道!!!! 解决sql注入问题,测试in语法的时候,怎么都查不到数据.后来发现我应该用 setParameterList(),而不是setParameter(). String a = "140421197501105174,140421197501105174"; List<Map<String, String>> returnList = new ArrayList<Map<String, String>>()
hibernate规避SQL注入实例
weixin_30699955的博客
12-17 218
  项目被检测出SQL注入注入url如:http://127.0.0.1:8080/Test/wlf/getServiceInfo.html?province=%25E6%25B5%2599%25E6%25B1%259F50760358&timeType=1   利用常用SQL注入工具可获取数据库详细情况如下所示:   sqlmap命令:   注入漏洞信息:   针对SQ...
Hibernate使用中,防止SQL注入的一些措施
weixin_33755649的博客
08-28 192
为什么80%的码农都做不了架构师?>>> ...
java hibernate防止sql注入
02-09
### 如何在Java Hibernate防止SQL注入 为了有效防范SQL注入,在使用Hibernate框架时应遵循最佳实践并采用多种防御措施。 #### 使用HQL和Criteria API代替原生SQL语句 通过利用Hibernate Query Language(HQL) 或 Criteria API 构建查询,可以自动处理参数化查询,从而减少直接拼接字符串带来的风险[^2]。 ```java // HQL示例 String hql = "FROM User WHERE username=:username"; Query query = session.createQuery(hql); query.setParameter("username", userName); // Criteria API 示例 CriteriaBuilder cb = session.getCriteriaBuilder(); CriteriaQuery<User> cq = cb.createQuery(User.class); Root<User> rootEntry = cq.from(User.class); cq.select(rootEntry).where(cb.equal(rootEntry.get("username"), userName)); TypedQuery<User> typedQuery = session.createQuery(cq); ``` #### 参数绑定而非字符串连接 当确实需要执行本地SQL查询时,务必使用`session.createNativeQuery()`方法配合`:paramName`占位符以及相应的setParameter()调用来设置实际值,而不是简单地将变量嵌入到字符串内。 ```java String sql = "SELECT * FROM users WHERE id = :userId"; NativeQuery nativeQuery = session.createNativeQuery(sql, User.class); nativeQuery.setParameter("userId", userId); List result = nativeQuery.getResultList(); ``` #### 启用PreparedStatement功能 确保JDBC底层配置启用了预编译语句的支持,这有助于进一步增强安全性。对于某些特定场景下可能还需要借助第三方工具如P6Spy来监控最终生成的SQL文本[^5]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值