休眠标准 API 是否完全防止 SQL 注入

java sql-injection hibernate hibernate-criteria criteria-api

2022-09-04 02:29:01

我正在与Hibernate合作，以保护我的网站免受SQL注入。

我听说Hibernate Criteria API比HQL更强大。休眠标准 API 是否完全防止 SQL 注入？

答案 1

是的，确实如此。

条件 API 以及 HQL 或 JPQL 中的查询参数都对参数进行转义，并且不会执行恶意 SQL。

仅当您只是将参数连接到查询中时，才会暴露此漏洞。然后，任何恶意 SQL 都会成为查询的一部分。

编辑OWASP 具有 SQL 注入预防备忘单。使用条件查询等效于防御选项 1：使用预准备语句。

答案 2

推荐

rest java web-services restful-authentication
如何使用Java中的RESTful Web服务获取远程/客户端IP地址？我已经在我的项目中编写了Rest Web服务。Web服务调用可能来自不同 machine.so 我需要通过REST Web服务找出IP地址。从这个请求.getRemoteAddr（）使用这个。但是我不能使用getRemoteAddr（）。因为我的请
compression java unzip
从包含大量文件的zip文件中提取1文件的最快方法是什么？我尝试了但它们也缺少一些东西。 LZMA SDK不提供一种如何使用的文档/教程，这非常令人沮丧。没有 javadoc。虽然7z jbinding没有提供一种简单的方法来只提取1个文件，但是，它只提供了提取zip文件
scope java
输入/输出流在销毁时是否关闭？ Java 中的 InputStreams 和 OutputStreams 是否在销毁时关闭（）？我完全理解这可能是不好的形式（特别是在C和C++世界中），但我很好奇。另外，假设我有以下代码：无名的FileInputStream是否在p.load�
string memory java
Java 程序中的字符串大小是否有任何限制？我有一个字符串定义为字符串 xx 我可以分配的字符数是否有任何限制？ 2）我正在将用户输入分配给此字符串 xx。70%的人只说一个字。有时他们给出一个大句子，所以想知道可
java
在 Java 中通过引用传递基元数据（8回答） 7年前关闭。是否可以将基元数据作为 java 中的参数传递给方法，而无需将它们包装到相应的类对象中???