HQL查询语句拼接规范,避免SQL注入攻击

最新推荐文章于 2024-04-15 05:21:01 发布
最新推荐文章于 2024-04-15 05:21:01 发布
阅读量7.6k 收藏 3
点赞数
分类专栏: Java 文章标签: sql注入 hql Hibernate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shiyong1949/article/details/76154852
版权

软件开发过程中不仅要考虑软件的功能实现,还要考虑软件的安全性,如果一个软件系统安全性做得不好,一旦被黑客攻击,后果不堪设想。对于B/S系统,SQL注入攻击就是一个常见的安全隐患,下面我们来看下如何在日常开发中避免SQL注入攻击。

SQL注入简介
SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
这里写图片描述

这里我们举一个比较常见的例子来简要说明一下sql注入的原理。假如我们有一个users表,里面有两个字段username和password。在我们的java代码中我们初学者都习惯用sql拼接的方式进行用户验证。比如:”select id from users where username = ‘”+username +”’ and password = ‘” + password +”’” 这里的username和password都是我们存取从web表单获得的数据。下面我们来看一下一种简单的注入,如果我们在表单中username的输入框中输入’ or 1=1– ,password的表单中随便输入一些东西,假如这里输入123.此时我们所要执行的sql语句就变成了select id from users where username = ” or 1=1– and password = ‘123’,我们来看一下这个sql,因为1=1是true,后面 and password = ‘123’被注释掉了。所以这里完全跳过了sql验证。

SQL注入预防
防止SQL注入的方式的原理就是转义特殊符号,可以通过正则表达式对参数进行过滤,或者将查询参数动态绑定。下面是一个使用JDBC查询的例子:

PrepareStatement pre=connection.prepare(“select * from User where user.name=?”); 
pre.setString(1,”zhaoxin”); 
ResultSet rs=pre.executeQuery();

在Hibernate中也提供了类似这种的查询参数绑定功能,而且在Hibernate中对这个功能还提供了比传统JDBC操作丰富的多的特性。

1,按参数名称绑定: ,
在HQL语句中定义命名参数要用”:”开头,形式如下: 

Query query=session.createQuery(“from User user where user.name=:customername and user:customerage=:age ”); 
query.setString(“customername”,name); 
query.setInteger(“customerage”,age);

上面代码中用:customername和:customerage分别定义了命名参数customername和customerage,然后用Query接口的setXXX()方法设定名参数值,setXXX()方法包含两个参数,分别是命名参数名称和命名参数实际值。

2,按参数位置邦定:
在HQL查询语句中用”?”来定义参数位置,形式如下: 

Query query=session.createQuery(“from User user where user.name=? and user.age =? ”); 
query.setString(0,name); 
query.setInteger(1,age);

同样使用setXXX()方法设定绑定参数,只不过这时setXXX()方法的第一个参数代表邦定参数在HQL语句中出现的位置编号(由0开始编号),第二个参数仍然代表参数实际值。

注:在实际开发中,提倡使用按名称邦定命名参数,因为这不但可以提供非常好的程序可读性,而且也提高了程序的易维护性,因为当查询参数的位置发生改变时,按名称邦定名参数的方式中是不需要调整程序代码的。

3,setParameter()方法: ,
在Hibernate的HQL查询中可以通过setParameter()方法邦定任意类型的参数,如下代码: 

String hql=”from User user where user.name=:customername ”; 
Query query=session.createQuery(hql); 
query.setParameter(“customername”,name,Hibernate.STRING);

如上面代码所示,setParameter()方法包含三个参数,分别是命名参数名称,命名参数实际值,以及命名参数映射类型。对于某些参数类型setParameter()方法可以更具参数值的Java类型,猜测出对应的映射类型,因此这时不需要显示写出映射类型,像上面的例子,可以直接这样写: query.setParameter(“customername”,name);但是对于一些类型就必须写明映射类型,比如java.util.Date类型,因为它会对应Hibernate的多种映射类型,比如Hibernate.DATA或者Hibernate.TIMESTAMP。

4,setProperties()方法: ,
在Hibernate中可以使用setProperties()方法,将命名参数与一个对象的属性值绑定在一起,如下程序代码: 

Customer customer=new Customer(); 
customer.setName(“pansl”); 
customer.setAge(80); 
Query query=session.createQuery(“from Customer c where c.name=:name and c.age=:age ”); 
query.setProperties(customer);

setProperties()方法会自动将customer对象实例的属性值匹配到命名参数上,但是要求命名参数名称必须要与实体对象相应的属性同名。

提倡大家使用第一种方法,代码清晰易懂。

Sam.Shi
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何拼接SQL语句,以及如何防止SQL注入攻击
qq_40922845的博客
01-20 7124
在书写SQL语句(或者其他语句)的过程中,有时需要将形参放入准备好的SQL变量中,就需要对语句进行拼接拼接方法如下,字符串需要整个用双引号包裹,形参需要暴漏在双引号外面,字符串跟形参之间用加号连接。下面对这个SQL语句进行分组分析: 正常的语句应该是这样:select * from test(表名) where uname="username" and upassword="password";...
hibernate hql where语句拼接工具类
03-23
总的来说,“hibernate hql where语句拼接工具类”是为了简化和规范化在Hibernate中构建带有动态条件的HQL查询的过程,提高代码的可读性和可维护性。通过这样的工具类,开发者可以更方便地根据业务需求构建复杂的...
Hibernate框架中的HQL注入漏洞
m0_64481831的博客
04-09 674
Hibernate是一款重量级的全自动化ORM框架,它将SQL的操作封装起来。通常情况下,开发者需要通过操作xml配置文件,来进行数据库的操作。但有时为了灵活方便,开发者可以在工具类中通过扩展hibernate API 操作持久化对象来进行增删改查,此时要用到HQLHQL(Hibernate Query Language) 是面向对象的查询语言,。
Hibernate使用中防止SQL注入的几种方案
01-20
Hibernate使用中防止SQL注入的几种方案 Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。     在获取便利操作的同时,SQL的注入问题也值得我们的密切注意,下面就来谈谈几点如何避免SQL注入:     1.对参数名称进行绑定: Query query=session.createQuery(hql); query.setString(“name”,name);     2.对参数位置进行邦定: Query query=session.createQuery(hql);
Java使用JDBC开发 之 SQL注入攻击和解决方案
最新发布
a1901149的博客
04-15 940
很多程序员,整天沉浸在业务代码的 CRUD 中,业务中没有大量数据做并发,缺少实战经验,对并发仅仅停留在了解,做不到精通,所以总是与大厂擦肩而过。我把私藏的这套并发体系的笔记和思维脑图分享出来,理论知识与项目实战的结合,我觉得只要你肯花时间用心学完这些,一定可以快速掌握并发编程。《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
使用jdbc拼接条件查询语句时如何防止sql注入
云端笑猿的博客
04-27 2364
本人微信公众号,欢迎扫码关注! 使用jdbc拼接条件查询语句时如何防止sql注入 最近公司的项目在上线时需要进行安全扫描,但是有几个项目中含有部分老代码,操作数据库时使用的是jdbc,并且竟然好多都是拼接的SQL语句,真是令人抓狂。 在具体改造时,必须使用PreparedStatement来防止SQL注入,普通SQL语句比较容易改造,本重点探讨在拼接查询条件的时候如何方式SQL注入,具体思...
正则校验windows和linux路径
weixin_43173924的博客
09-07 996
let winPath = /^[a-zA-Z]:(((\\(?! )[^/:*?<>\""|\\]+)+\\?)|(\\)?)\s*$/; let lnxPath = /^\/(\w+\/?)+$/i; if(!winPath.test(self.formItem.jarlocation) && !lnxPath.test(self.formItem.jarlocation)){ //校验不通过 }else{ //校验通过 } ...
HQL注入防御
雾里华的博客
12-18 597
缘由:由于客户方漏扫工具,扫描判断我们系统中动态HQL语句有注入风险。(画外音:其实这些参数都是内部使用的,根本没有外部侵入可能) 解决:防御sql注入最好的办法就是预编译 对于参数的很好解决: HQL参数名称绑定 Query query=session.createQuery(“from User user where user.name=:customername and user:customerage=:age ”); query.setString(“customername”,.
JPA--HQL查询(手动写原生查询sql,复杂查询必备).pdf
10-08
HQL 查询中,需要定义查询语句,可以使用字符串拼接的方式动态生成查询语句,例如,使用 if 语句判断条件是否存在,然后将条件添加到查询语句中。最后,使用 GROUP BY 子句对查询结果进行分组。 在查询结果处理...
Hql语句注意事项总结
10-10
一种方法是动态构建Hql语句,将数组元素拼接成一个逗号分隔的字符串,然后在`in`子句中使用这个字符串。例如,`id in ('1','2','3')`。另一种方法是使用Hibernate的参数绑定功能,直接将数组作为参数传递,Hibernate...
防止SQL注入dbq
04-06
但这种方法并不能完全避免SQL注入,因为攻击者可能构造复杂的注入语句绕过验证。 4. **使用ORM框架的安全特性**:例如Hibernate的`hibernate.query.instruction.strict`配置项,可防止不安全的HQL注入。 5. **使用...
如何防止sql注入
weixin_41770160的博客
06-20 131
sql注入
如何防止hql注入
09-08 442
在ssh框架下经常用到hql查询,和jdbc编程一样我们也需防止hql注入。所谓的hql注入,总结起来就是利用表单输入“'”以及“or”等sql语法的保留字或语法符号,来巧妙的避开常用的验证的手段而已。 通常的解决办法就是进行动态参数设置。具体做法是: 先将hql拼装起来。用"?"代替变量值。然后在hibernate里将参数值动态注入。表达起来比较费劲。还是贴代码吧: [c...
如何防止sql恶意注入
m0_72345017的博客
09-13 1229
其实在框架底层,是JDBC中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的SQL语句。如判断一下输入的参数的长度是否正常(注入语句一般很长), 更精确的过滤 则可以查询一下输入的参数是否在预期的参数集合中。在MyBatis中,“ $ {xxx}”这样格式的参数 直接参与SQL编译 ,从而 不能避免注入攻击。$ {}是未经过预编译的,仅仅是取变量的值,是非安全的,存在SQL注入
SQL或HQL预编译语句,能够防止SQL注入,但是不能处理%和_特殊字符
aty
09-04 4100
最近项目在做整改,将所有DAO层的直接拼接SQL字符串的代码,转换成使用预编译语句的方式。个人通过写dao层的单元测试,有以下几点收获。 dao层代码如下 //使用了预编译sql public List selectConfigBySuffix(String suffix) { String hql = "from IndvConfigModel where configKey
hibernatesql注入的一种方法.
Aeyewp的博客
06-27 778
本次我们将介绍一种防注入的方式:传参。 这也是我在学习过程中遇到的第一种防注入的方法。String sql="select * from table_name where name=? "; List list = this.systemService.findForJdbc(sql, "张三");这样通过传参的方式可以将恶意的sql语句当做字符串处理。做到防注入的功能。
简单的Hql拼接...
z919179517的专栏
10-22 336
package com.glasses.util; import java.util.ArrayList; import java.util.List; import org.junit.Test; /**     *      * 项目名称:Glasses     * 类名称:QueryHelper     * 类描述:     * 创建人:zhang
hibernate hql拼接语句几种方式,模糊查询
shiwjlolo的专栏
05-13 798
1: OID is param [code="java"] String strSQL="from Classes as a where a.classno like :name"; Query query = session.createQuery(strSQL); query.setString("name", "%"+OId+"%"); ...
hql多条件查询的拼接
Ezrealmore
03-31 5752
今天在做项目的时候,写了一个查询窗口功能:里面可以输入N个条件,如果条件为空则跳过,后台处理这个方案,就需要用到hql拼接了~! 比如在页面有5个文本框,每个文本框代表数据库里的一个字段。查询代码如下:StringBuffer hql = new StringBuffer(); hql.append("SELECT * FROM table where 1=1 "); if(参数1 !=nul
请将上面的sql查询翻译成HQL语句
05-17
由于缺少具体的SQL查询语句,无法提供对应的HQL语句。但是,HQL语句与SQL语句具有相似的语法结构,可以参考以下示例将SQL查询转换为HQL查询: 假设有一个名为"Person"的实体类,其中包含"id"、"name"和"age"三个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值