gpt4 book ai didi

java - 如何保护 Hibernate QBE 查询

转载 作者:塔克拉玛干 更新时间:2023-11-02 20:16:17 26 4
gpt4 key购买 nike

目前,我知道四种使用 hibernate 进行事务的方式:

  1. 使用对象
  2. 使用 HQL
  3. 使用特定于数据库的 SQL
  4. 使用标准 (QBE)

好吧,关于它们对注入(inject)的抵抗力有多强,我认为这些是(如果我错了请纠正我):

  1. 安全,因为内部 SQL 调用是参数化的。
  2. 如果查询是参数化的则安全,否则不安全。
  3. 与 #2 相同,但不便携。
  4. 没有安全感?

我的问题是关于 #4,通过示例查询,因为我发现它也容易受到攻击。示例:

    Account a = new Account(); //POJO class       
a.setId("1' OR '1'='1");

//s is a org.hibernate.Session instance
Criteria crit = s.createCriteria(Account.class);
crit.add(Example.create(a));
List results = crit.list(); //table dump!

该片段选择了整个帐户表。有什么方法可以防止注入(inject)吗?怎么办?

注意:我使用的是 Hibernate 3.6.5 final,测试数据库是 HSQLDB。

更新:对我来说似乎也是一个错误,而且确实可能​​与注入(inject)的 SQL 无关。尝试使用不存在的值设置 id 并返回所有行。尝试使用 '5'='5' 而不是 '1'='1' 进行注入(inject),并且 5 不会传播到 SQL 调用。它一直使用 (1=1) 作为 where 子句。

更新 2:已解决。请参阅下面的答案。

最佳答案

Hibernate QBE 忽略 id(映射到 PK)字段。这样做似乎是因为 id 过滤器只会返回一行,这可以通过 get() 或 load() 来实现。我想知道如果我想在 id 上使用 like 条件怎么办???

hibernate官方论坛相关帖子:

https://forum.hibernate.org/viewtopic.php?t=927063

https://forum.hibernate.org/viewtopic.php?t=938036

关于java - 如何保护 Hibernate QBE 查询,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6746486/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com