Безопасна ли базовая HTTP-аутентификация в Spring от SQL-инъекций?

Question

Я использую базовую аутентификацию HTTP в моем проекте Spring MVC. Защищена ли аутентификация Spring от SQL-инъекций?

Может ли какой-либо эксперт представить заявление по этому поводу? Или предоставьте ссылки на выписку.

Answer 1

По соглашению с Simeon, это так же безопасно, как и любые базовые настройки, которые вы применили к стандартной инфраструктуре.

Стандартная реализация инфраструктуры JdbcDaoImpl использует PreparedStatement s для всего доступа JDBC, чтозащитить от атак SQL-инъекций, даже если вы измените запросы.Однако если вы расширяете его или пишете свою собственную реализацию, все ставки отключены.

С архитектурной точки зрения ваш вопрос не совсем точен - метод передачи учетных данных для проверки подлинности (базовый, в вашем случае) не 't непосредственно влияет на то, что фактически достигает базы данных.Существует хороший уровень абстракции между получением и проверкой полномочий.Я бы посоветовался обратиться к документации Spring Security, чтобы понять, почему это так.

Answer 2

Как вы проверяете учетные данные пользователя?

Если вы используете UserDetailsService для проверки учетных данных пользователя по БД, то ответственность за защиту от инъекций ложится на вас, поскольку вы создаете запрос.