spring SQL注入中的@Query注释安全吗？

java sql-injection spring spring-annotations

2022-09-03 02:59:20

对于Spring，传递给@Query注释的字符串的参数是否会被视为纯数据，例如，如果您使用的是ReadkStatement类或任何旨在防止SQL注入的方法？

final String MY_QUERY = "SELECT * FROM some_table WHERE some_column = ?1";

@Query(value=MY_QUERY, nativeQuery = true)
List<SomeEntity> findResults(String potentiallyMaliciousUserInput);

底线：上面的代码是否容易受到 SQL 注入的影响？

答案 1

看起来Spring Data只是围绕JPA的包装器。@Query

请参阅此 SO 答案：在 JPA 中是否存在 SQL 注入攻击？

答案 2

在查询中，您使用绑定变量而不是字符串串联（这将容易受到SQL注入的攻击），因此我认为您的示例在SQL注入的漏洞方面是节省的。

推荐

rest java web-services restful-authentication
如何使用Java中的RESTful Web服务获取远程/客户端IP地址？我已经在我的项目中编写了Rest Web服务。Web服务调用可能来自不同 machine.so 我需要通过REST Web服务找出IP地址。从这个请求.getRemoteAddr（）使用这个。但是我不能使用getRemoteAddr（）。因为我的请
compression java unzip
从包含大量文件的zip文件中提取1文件的最快方法是什么？我尝试了但它们也缺少一些东西。 LZMA SDK不提供一种如何使用的文档/教程，这非常令人沮丧。没有 javadoc。虽然7z jbinding没有提供一种简单的方法来只提取1个文件，但是，它只提供了提取zip文件
scope java
输入/输出流在销毁时是否关闭？ Java 中的 InputStreams 和 OutputStreams 是否在销毁时关闭（）？我完全理解这可能是不好的形式（特别是在C和C++世界中），但我很好奇。另外，假设我有以下代码：无名的FileInputStream是否在p.load�
string memory java
Java 程序中的字符串大小是否有任何限制？我有一个字符串定义为字符串 xx 我可以分配的字符数是否有任何限制？ 2）我正在将用户输入分配给此字符串 xx。70%的人只说一个字。有时他们给出一个大句子，所以想知道可
java
在 Java 中通过引用传递基元数据（8回答） 7年前关闭。是否可以将基元数据作为 java 中的参数传递给方法，而无需将它们包装到相应的类对象中???