如何使用JPA和Hibernate防止SQL注入？

java sql sql-injection hibernate jpa

2022-09-01 10:32:34

我正在使用休眠开发一个应用程序。当我尝试创建登录页面时，出现了Sql注入的问题。我有以下代码：

@Component
@Transactional(propagation = Propagation.SUPPORTS)
public class LoginInfoDAOImpl implements LoginInfoDAO{

@Autowired
private SessionFactory sessionFactory;      
@Override
public LoginInfo getLoginInfo(String userName,String password){
    List<LoginInfo> loginList = sessionFactory.getCurrentSession().createQuery("from LoginInfo where userName='"+userName+"' and password='"+password+"'").list();
    if(loginList!=null )
        return loginList.get(0);
    else return null;   
          }
      }

在这种情况下，我将如何防止Sql注入？loginInfo 表的创建表语法如下：

create table login_info
  (user_name varchar(16) not null primary key,
  pass_word varchar(16) not null);

答案 1

Query q = sessionFactory.getCurrentSession().createQuery("from LoginInfo where userName = :name");
q.setParameter("name", userName);
List<LoginInfo> loginList = q.list();

你还有其他选择，看看mkyong的这篇好文章。

答案 2

您需要使用命名参数来避免 sql 注入。另外（与sql注入无关，但通常与安全性无关）不要返回第一个结果，而是使用getSingleResult，因此，如果由于某种原因有多个结果，查询将失败，NonUniqueResultException和登录将不会成功

 Query query= sessionFactory.getCurrentSession().createQuery("from LoginInfo where userName=:userName  and password= :password");
 query.setParameter("username", userName);
 query.setParameter("password", password);
 LoginInfo loginList = (LoginInfo)query.getSingleResult();