目前,我知道四种使用 hibernate 进行事务的方式:
- 使用对象
- 使用 HQL
- 使用特定于数据库的 SQL
- 使用标准 (QBE)
好吧,关于它们对注入(inject)的抵抗力有多强,我认为这些是(如果我错了请纠正我):
- 安全,因为内部 SQL 调用是参数化的。
- 如果查询是参数化的则安全,否则不安全。
- 与 #2 相同,但不便携。
- 没有安全感?
我的问题是关于 #4,通过示例查询,因为我发现它也容易受到攻击。示例:
Account a = new Account(); //POJO class
a.setId("1' OR '1'='1");
//s is a org.hibernate.Session instance
Criteria crit = s.createCriteria(Account.class);
crit.add(Example.create(a));
List results = crit.list(); //table dump!
该片段选择了整个帐户表。有什么方法可以防止注入(inject)吗?怎么办?
注意:我使用的是 Hibernate 3.6.5 final,测试数据库是 HSQLDB。
更新:对我来说似乎也是一个错误,而且确实可能与注入(inject)的 SQL 无关。尝试使用不存在的值设置 id 并返回所有行。尝试使用 '5'='5' 而不是 '1'='1' 进行注入(inject),并且 5 不会传播到 SQL 调用。它一直使用 (1=1) 作为 where 子句。
更新 2:已解决。请参阅下面的答案。
最佳答案
Hibernate QBE 忽略 id(映射到 PK)字段。这样做似乎是因为 id 过滤器只会返回一行,这可以通过 get() 或 load() 来实现。我想知道如果我想在 id 上使用 like 条件怎么办???
hibernate官方论坛相关帖子:
关于java - 如何保护 Hibernate QBE 查询,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6746486/