HQL order by節でSQLインジェクションを処理します。

Question

は、Hibernate HQL order by節でSQLインジェクションを処理する簡単な方法です。名前付きパラメータは明らかに機能しません。

EDIT：

この問題を処理するあなたの方法を投稿してお気軽に。私は他の人のソリューションを見て、それらから教えたいです。

ご協力いただきありがとうございます。

Answer 1

HQLの代わりにHibernate criteria APIを使用できます。

基準APIは、注文基準が有効なプロパティを参照しているかどうかをチェックします。

あなたがそのようないろいろ書いてみた場合：

public void testInjection() { 
    String orderBy = "this_.type desc, type"; 

    Criteria crit = this.getSession().createCriteria(DemoEntity.class); 
    crit.addOrder(Order.asc(orderBy));  
    crit.list(); 
} 

をあなたはAbstractPropertyMappingによってスローQueryException: "could not resolve property this_ of de.test.DemoEntity" を取得します。

Answer 2

Hibernateは、SQLインジェクションに対して既にガードしているPreparedStatementを使用します。 PreparedStatmentでは、引数は、プレーン・テキストのSQL文が発行されるのではなく、文にバインドされます。 hibernateを使用する場合、SQLインジェクションについて心配する必要はありません。

ここには、ハイバネートがSQLインジェクションClick Hereから安全であることを保証するスレッドがあります。

Answer 3

私は避けたかった解決策でした。私はkeyをURLにユーザが見ているもので、valueはORDER BY句の後にあるDBのカラムをmapに実装しました。