刚刚进入这家公司,项目组给我分配的是一个新的系统的开发工作。当然,作为技术的沉淀,并不是完全的从无到有的。
在整合了框架以后,是将一些久经考验的基础代码给迁移到新项目中。这一次需要将持久层修改为用hibernate来实现。在编写持久层的时候,我一开始大量采用了字符串拼接的方式来完成对sql语句的编写,而这一点,被我们组里的老人善意指点了出来:“这么写,如果遇到别人恶意注入怎么办”。
嗯,一开始完全没有意识到这一点。所以我上网查阅了资料,对sql注入以及hibernate防止sql注入的几个方法做一点自我总结,这也算是工作中的一个收获。
1.对sql注入的简单理解
比如校验用户是否在数据库中存在,如果存在则返回true,sql语句可以是:select * from t_user t where t.user_id = + ' id '。
如果变量id被恶意注入,sql语句变成:select * from t_user t where t.user_id = + ' 123 or 1 = 1 ',那么where就永远为真。
这种风险,我们需要规避,所以永远不要写以下这种代码:
String sql = "select * from t_user t where t.user_id = ' "+ id + " ' ";
List result = session.createQuery(sql).list();
2.使用hibernate所支持的解决方案,参数绑定来解决sql注入的问题
参数绑定有2种办法:使用positional parameter或者named parameter。
以下的内容为转载内容,原文:http://blog.csdn.net/oathevil/article/details/7228613
使用positional parameter
String queryString = "from Item item "
+ "where item.description like ? "
+ "and item.date > ?";
List result = session.createQuery(queryString)
.setString(0, searchString)
.setDate(1, minDate)
.list();
可读性强不够强,而且可维护性差,如果我们的查询稍微改变一点,将第一个参数和第二个参数改变一下位置:
String queryString = "from Item item "
+ "where item.date > ? "
+ "and item.description like ?";
这样我们的代码中涉及到位置的地方都要修改,所以我们强烈建议使用named parameter方式进行参数绑定。
使用named parameter
使用named parameter,我们重新写上面的查询语句:
String queryString = "from Item item where item.description like :searchString";
冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:
List result = session.createQuery(queryString)
.setString("searchString", searchString)
.list();
因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!
如果有多个参数需要被帮定,我们这样处理:
String queryString = "from Item item "
+ "where item.description like :searchString "
+ "and item.date > :minDate";
List result = session.createQuery(queryString)
.setString("searchString", searchString)
.setDate("minDate", minDate)
.list();
最后,在named parameter中可能有一个参数出现多次的情况,应该怎么处理呢?
String userSearch = "from User u where u.username like :searchString"
+ " or u.email like :searchString";
List result = session.createQuery(userSearch)
.setString("searchString", searchString)
.list();
不要使用
为了防止SQL注入,避免使用拼凑SQL语句的方式!!!