7
我正在使用Hibernate来保护我的网站免受SQL注入攻击。Hibernate Criteria Api是否完全防止SQL注入
我听说Hibernate Criteria API比HQL更强大。 Hibernate Criteria Api是否完全防止SQL注入?
A
回答
9
是的,它的确如此。
Criteria API以及HQL或JPQL中的查询参数都会转义参数并且不会执行恶意SQL。
仅当您将参数连接到查询中时才会暴露该漏洞。然后,任何恶意SQL都会成为您查询的一部分。
编辑该OWASP功能SQL injection prevention cheatsheet。使用标准查询相当于防御选项1:使用准备好的语句。
相关问题
- 1. Java/Hibernate标准查询API是否防止注入?
- 2. 加密是否防止sql注入?
- 3. psychopg2:是否cursor.mogrify防止sql注入?
- 4. 防止SQL注入
- 5. Hibernate Criteria API
- 6. SQL防止SQL注入
- 7. 是否阻止查询命令足以防止SQL注入?
- 8. 防止SQL注入查询
- 9. 如何防止SQL注入?
- 10. 防止SQL注入与PHP
- 11. pdo防止sql注入
- 12. 防止SQL注入在asp.net
- 13. 防止SQL注入在ZF
- 14. TryParse防止SQL注入吗?
- 15. 防止SQL注入的PHP
- 16. 这是一个安全的方法来防止SQL注入?
- 17. Hibernate Criteria API - 访问加入的属性
- 18. 此处准备的语句是否防止SQL注入
- 19. PHP activerecord基本CRUD操作是否可以防止SQL注入?
- 20. 是否Symfony的2请求对象防止SQL注入
- 21. htaccess重写规则是否有助于防止SQL注入?
- 22. rails:构建方法是否防止sql注入
- 23. 使用存储过程是否防止SQL注入/ XSXX攻击?
- 24. LINQ-To-SQL如何防止SQL注入?
- 25. PHP + SQL脚本 - 防止SQL注入
- 26. 是否有可能完全免疫SQL注入?
- 27. Hibernate Criteria API等价于“elements()”
- 28. 用Hibernate Criteria API读取
- 29. oci_bind_by_name是否安全地阻止SQL注入?
- 30. 在SQL注入方面是否安全?
结论是什么。标准API是否完全保护我的网站免受SQL注入? – 2013-02-25 12:04:10
@яєηנιтн.я对不起,听起来不确定。是的,它确实。 – kostja 2013-02-25 12:08:27
@яєηנιтн.я实际上保护你免受SQL注入的是Statements,用于Criteria,HQL甚至纯JDBC,如果你正确使用它的话。结论是:不要连接字符串来创建您的查询。使用API。 – 2013-02-25 12:27:01