7
私はSQL Injectionから私のウェブサイトを保護するためにHibernateと協力しています。Hibernate Criteria ApiはSQLインジェクションから完全に保護されますか
Hibernate Criteria APIがHQLより強力であると聞きました。 Hibernate Criteria ApiはSQLインジェクションから完全に保護されますか?
A
答えて
9
はい、あります。
HQLまたはJPQLのクエリパラメータと同様に、Criteria APIもパラメータをエスケープし、悪質なSQLは実行しません。
この脆弱性は、パラメータをクエリに連結するだけで公開されます。その後、悪質なSQLがクエリの一部になります。
EDIT OWASPの機能はSQL injection prevention cheatsheetです。基準クエリを使用することは、防御オプション1と同じです:準備されたステートメントの使用。
関連する問題
- 1. Java/Hibernate Criteria Query APIはインジェクションに対して保護されていますか?
- 2. ColdFusionでのSQLインジェクションからの保護
- 3. PythonのSQLインジェクションからの保護
- 4. このコードはSQLインジェクションから保護されていますか?
- 5. CSRF/SQLインジェクション保護。ほかに何か?
- 6. サイトログインはSQLインジェクションからサイトを保護しますか?
- 7. TryParseはSQLインジェクションから保護しますか?
- 8. SQLインジェクションの保護?
- 9. column_names.includeを使用していますか? SQLインジェクションから保護するには?
- 10. PHP SQLインジェクションの保護
- 11. Kohana 2.3.4 ORM SQLインジェクション保護
- 12. createTextNodeはHTMLインジェクションとXSSから完全に安全ですか?
- 13. SQL tablenameインジェクションからの保護 - どのくらい遠すぎますか?
- 14. JAX-RPCとAxis2はXMLインジェクションから保護されていますか?
- 15. PDO execute($ input_parameter)は、SQLインジェクションからbindParam/bindValueとして保護しますか?
- 16. このPDOコードはSQLインジェクションからどのように保護されますか?
- 17. Hibernate Criteria API
- 18. Hibernate Criteria API
- 19. SQLインジェクションの保護 - 文字列からint型へのキャスト
- 20. PetaPocoのクエリ(文字列クエリ、パラメータ)メソッドはSQLインジェクションから保護されますか?
- 21. Zend FrameworkのSQLインジェクションの保護
- 22. これはSQLインジェクションから安全ですか?
- 23. 完全にブラインドSQLインジェクション列の列挙ですか?
- 24. HibernateとSQLインジェクション
- 25. ディレクトリを完全に保護する
- 26. DataTable.Select SQLインジェクション保護が必要ですか?
- 27. PostgreSQLの関数にSQLをラップすることでSQLインジェクション攻撃から保護できますか?
- 28. Spring JDBCはSQLインジェクション攻撃から何らかの保護を提供しますか?
- 29. Traefik httpsが完全に保護されていない
- 30. Amazon SimpleDBをSQLインジェクションから保護するにはどうしたらいいですか?
結論は何ですか?条件APIはSQLインジェクションから自分のウェブサイトを完全に保護しますか? –
@яєηנιтн.я申し訳ありません。はい、そうです。 – kostja
@яєηנιтн.я実際にSQLインジェクションからあなたを守るのは、Criteria、HQL、または純粋なJDBCで使用される 'Statements'です。結論は次のとおりです。Stringを連結してクエリを作成しないでください。 APIを使用します。 –