java db2 sql 防注入_Hibernate使用中,防止SQL注入的一些措施

最新推荐文章于 2023-05-17 11:20:53 发布
最新推荐文章于 2023-05-17 11:20:53 发布
阅读量281 收藏
点赞数
文章标签: java db2 sql 防注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35955473/article/details/114146244
版权

Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。

在获取便利操作的同时,SQL的注入问题也值得我们的密切注意,下面就来谈谈几点如何避免SQL注入:

1.对参数名称进行绑定:

Query query=session.createQuery(hql);

query.setString(“name”,name);

2.对参数位置进行邦定:

Query query=session.createQuery(hql);

query.setString(0,name1);

query.setString(1,name2);

...

3.setParameter()方法:

Query query=session.createQuery(hql);

query.setParameter(“name”,name,Hibernate.STRING);

4.setProperties()方法:

Entity entity=new Entity();

entity.setXx(“xx”);

entity.setYy(100);

Query query=session.createQuery(“from Entity c where c.xx=:xx and c.yy=:yy ”);

query.setProperties(entity);     5.HQL拼接方法,这种方式是最常用,而且容易忽视且容易被注入的,通常做法就是对参数的特殊字符进行过滤,推荐大家使用

Spring工具包的StringEscapeUtils.escapeSql()方法对参数进行过滤:

public static void main(String[] args) {

String str = StringEscapeUtils.escapeSql("'");

System.out.println(str);

}

输出结果:''

朱子宁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DB2数据库注入
Vi_vids的博客
03-26 1251
db2数据库 这里使用的靶场为墨者学院在线靶场 确定字段数 确定回显位 id=-1 union select 1,2,3,4 from syscat.tables 查看数据库基本信息/爆库 爆表可以使用的表可以是syscat.tables,也可以是syscat.columns、sysibm.sysdummy1 科普时间 sysibm.sysdummy1 表是DB2数据库的系统表,存放着系统的相关信息 id=-1 union select 1,current schema,current s
墨者 - SQL手工注入漏洞测试(Db2数据库)
吃肉唐僧的博客
07-11 2735
进入环境,用order by测试,发现可以,并测试到字段为4 接下来用union select 1,2,3,4 发现失败 后来上网看了别人的思路是union select 1,2,3,4 from sysibm.systables就可以回显了 应该是不同的数据库语法问题 爆库 id=2 union select 1,2,current schema,4 from sysibm...
sql server 字符串拼接_Python操作db2数据库时如何防止SQL注入
weixin_39763033的博客
12-06 223
QL注入就是攻击者在前端的表单输入,或者 API 的传参时,按照 SQL 的语法,人为地加入一段代码,改变原有的SQL 逻辑,来跳过验证,篡改或者删除数据库,达到攻击者的目的的过程。SQL注入攻击会造成非常严重的后果,举个例子:select user_id,user_name from user_info where user_name = '$a' and passwd = '$pwd'一般情...
SQL注入原理及思路(绕过)-超详细
最新发布
weixin_52501704的博客
05-17 2954
(1)user() 返回当前使用数据库的用户,也就是网站配置文件连接数据库的账号 (2)version() 返回当前数据库的版本 (3)database() 返回当前使用的数据库,只有在use命令选择一个数据库之后,才能查到 (4)group_concat() 把数据库的某列数据或某几列数据合并为一个字符串 (5)@@datadir 数据库路径 (6)@@version_compile_os 操作系统版本。通过+1、-1、and 1=1、and 1=2、注释符。或者通过报错注入是网页返回报错信息。
StringEscapeUtils.escapeSql
jceator123的博客
01-10 3885
apache的StringEscapeUtils类,可以转义html,javascrip,SQL,xml,java特殊字符.特别是SQL,省了被人SQL注入了,来用个单引号试试:String str = "'";System.out.println(str);System.out.println(StringEscapeUtils.escapeSql(str));结果:'''//变成两个单引号了...
jsql-injection:jSQL Injection是用于自动SQL数据库注入Java应用程序
02-02
Netezza,NuoDB,Oracle,PostgreSQL,Presto,SQLite,SQL Server,Sybase,Teradata和Vertica 多种注入策略:正常,错误,堆叠,盲注和时间各种注入过程:默认,Zip,Dios 用于SQL和篡改脚本的沙箱列出以注入
DB2 驱动包 db2jcc.jar db2jcc_javax.jar db2jcc_license_cu.jar
07-17
Java项目,尤其是使用Hibernate这样的对象关系映射框架时,这些驱动JAR文件需要被添加到项目的类路径。如果你之前遇到连接问题,可能是因为下载的驱动包不完整或版本不兼容。确保获取的驱动版本与你的DB2...
DB2、ORACLE、SQL写法的主要区别
12-14
说实话,ORACLE把国内的程序员惯坏了,代码SQL充斥着大量ORACLE特性,几乎没人知道ANSI的标准SQL是什么样子,导致程序脱离了ORACLE根本无法运行,还好随着hibernate的流行,情况有了很大改观  DB2作为众多国际...
jOOQ:jOOQ是用Java编写SQL的最佳方法
02-03
到目前为止,只有很少的数据库抽象框架或库真正地尊重SQL作为语言的头等公民。 大多数框架,包括行业标准JPA,EJB,Hibernate,JDO,条件查询,以及许多其他框架,都试图隐藏SQL本身,从而将其范围最小化为​​...
Java探索之Hibernate主键生成策略详细介绍
08-29
Java探索Hibernate提供了多种主键生成策略,满足不同场景下的需求。下面是对Hibernate主键生成策略的详细介绍: 1. Increment主键生成策略 Increment主键生成策略是由Hibernate从数据库获取主键的最大值,...
DB2数据库SQL注入语句
02-17
可以试试学习一下,不可以滥用, 猜用户表数量: and 0<(SELECT count(NAME) FROM SYSIBM.SYSTABLES where CREATOR=USER)
JAVA代码审计之SQL注入
05-20
本章节课程主要从以下三方面详细的介绍了如何针对java代码sql注入的审计方法及黑盒验证:1、JDBC连接方式下sql注入的存在的形态及修复方法,like、in情况在如何安全使用预处理来sql注入2、在使用Mybatis框架下如何审计sql注入代码,并详细的介绍了如何编写安全的数据库查询语句。3、在使用Hibernate框架下如何审计sql注入代码。并详细介绍了如何编写安全的数据库查询语句。
Hibernate一些防止SQL注入的方式
赵玉的专栏
12-21 1万+
Hibernate一些防止SQL注入的方式   Hibernate在操作数据库的时候,有以下几种方法来防止SQL注入     1.对参数名称进行绑定:     2.对参数位置进行邦定:     3.setParameter()方法:     4.setProperties()方法:     5.HQL拼接方法,这种方式是最常用,而且容易忽视且容易被注入的,通常做
HQL注入
雾里华的博客
12-18 597
缘由:由于客户方漏扫工具,扫描判断我们系统动态HQL语句有注入风险。(画外音:其实这些参数都是内部使用的,根本没有外部侵入可能) 解决:sql注入最好的办法就是预编译 对于参数的很好解决: HQL参数名称绑定 Query query=session.createQuery(“from User user where user.name=:customername and user:customerage=:age ”); query.setString(“customername”,.
HQL查询语句拼接规范,避免SQL注入攻击
施勇
07-26 7685
软件开发过程不仅要考虑软件的功能实现,还要考虑软件的安全性,如果一个软件系统安全性做得不好,一旦被黑客攻击,后果不堪设想。对于B/S系统,SQL注入攻击就是一个常见的安全隐患,下面我们来看下如何在日常开发避免SQL注入攻击。SQL注入简介 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数
DB2静态/动态SQL语句与SQL注入攻击
Simon's Tech Book
06-01 3988
今天在指导一个小型DB2项目开发时,突然想到了为什么SQL注入攻击之类的黑客技术在我接受的DB2的mainframe项目根本没有提及,应该就是因为DB2的静态SQL语句机制。 我们先来看定义。静态SQL:在编程语言,语句以hard code的方式写在程序,但是其允许有变量。这样的程序需要经过DB2预编译,将对这样的SQL语句的调用变成native language call。而
sqlinjection in db2数据库
Coisini的博客
05-25 323
使用DB2的人比较少了,今天碰到了一个可供注入DB2网站,想试试身手。不过在网上很难找到相关的资料,只好自己研究了。 参考了IBM DB2的文档,总结了这样几条: 1、select NAME from SYSIBM.SYSTABLES where CREATOR =USER 可以返回系统所有用户创建的表(table)名 2、select NAME from SYSIBM.SYSCOLUMNS ...
SQL注入详解
热门推荐
qq_48904485的博客
03-21 2万+
针对SQL注入的攻击行为可描述为通过用户可控参数注入SQL语法,破坏原有SQL结构,达到编写程序意料之外结果的攻击行为。 其成因可归结为以下两个原理叠加造成: 1、程序编写者在处理程序和数据库交互时,使用字符串凭借的方式构造SQL语句。 2、未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句SQL注入的攻击方式分为:报错注入、布尔盲注 、延时注入、堆叠查询、联合查询 、二次注入等等
SQL Injection with MySQL
11-11 1433
本文作者:angel文章性质:原创发布日期:2004-09-16本文已经发表在《黑客线》7月刊,转载请注明。由于写了很久,随着技术的进步,本人也发现该文里有不少错误和罗嗦的地方。请各位高手看了不要笑。本文写于《Advanced SQL Injection with MySQL》之前一个月。声明  本文仅用于教学目的,如果因为本文造成的攻击后果本人概不负责,本文所有

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值