Question

существует простой способ обработки SQL-инъекций в Hibernate HQL в порядке предложений.Именованные параметры явно не подходят для этого.

РЕДАКТИРОВАТЬ:

Не стесняйтесь опубликовать свой способ решения этой проблемы.Я хочу видеть решения других людей и учить их.

Спасибо за любые предложения и решения.

Ralph · Answer 1 · 15 февраля 2011

Вы можете использовать API критериев Hibernate вместо HQL.

API критериев проверяет, что критерий заказа ссылается на допустимое свойство.

, если вы попытаетесь что-то подобное:1006 *

Вы получите QueryException: "could not resolve property this_ of de.test.DemoEntity", брошенный AbstractPropertyMapping.

michal.kreuzman · Answer 2 · 03 февраля 2011

Я получил решение, которого хотел избежать.Я реализовал карту, где ключ - это то, что пользователь видит в URL, а значение - это столбец (столбцы) в БД, который следует после предложения ORDER BY.

Ashfak Balooch · Answer 3 · 20 января 2011

Hibernate использует PreparedStatement, который уже против SQL-инъекций. В PreparedStatment аргументы привязываются к оператору, а не к выдаче простого SQL-оператора. Вам не нужно беспокоиться о внедрении SQL при использовании hibernate.

Вот поток, который обеспечивает безопасность hibernate от SQL-инъекции Нажмите здесь .

Обработка SQL-инъекций в HQL-порядке по выражению

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Обработка SQL-инъекций в HQL-порядке по выражению

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов