JavaEE记录篇网络安全实验室

Hibernate防止SQL注入攻击的方法

2016-10-20  本文已影响52人  撸码东

如果在查询字段中输入单引号" ' ",则会报错,这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql,实际上这就是SQL注入漏洞,后来我在前台和后台都对输入的字符进行了判断。
永远也不要写这样的代码:
String queryString = "from Item i where i.description like '" + searchString + "'";
List result = session.createQuery(queryString).list();
如果用户输入:foo' and callSomeStoredProcedure() and 'bar' = 'bar,则你的程序在执行一个简单查询后,还会调用某个存储过程,
这样你的程序就开了一个安全漏洞,如果用户偶尔输入了一个单引号,你的程序就可能报错。
永远也不要把未经检查的用户输入的值直接传给数据库!
幸运的时有一个简单的机制可以避免这种错误:
JDBC在绑定参数时有一个安全机制,它可以准确的将那些需要转义的字符进行转义(escape),
如上面的searchString,它被escape,不再作为一个控制字符了,而是作为被查询的匹配的字符串的一部分。(这里指的是prepared statement,而是用普通的statment不行,我试过)。
另外,如果我们使用参数绑定,还可以提高数据库的执行效率,prepared statement语句被编译一次后,被放在cache中,就不再需要编译,可以提高效率。
参数绑定有2种办法:使用positional parameter或者named parameter。
Hibernate支持JDBC样式的positional parameter(查询字符串中使用?),它同使用named parameter的效果一样(查询字符串中使用:)。
使用named parameter
使用named parameter,我们重新写上面的查询语句:
String queryString = "from Item item where item.description like :searchString";
冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到searchString参数上:
List result = session.createQuery(queryString)
.setString("searchString", searchString)
.list();
因为searchString是一个用户输入的字符串,所以我们使用Query的setString()方法进行参数绑定,这样代码更清晰,更安全,效率更好!
如果有多个参数需要被帮定,我们这样处理:
String queryString = "from Item item "

上一篇下一篇

猜你喜欢

热点阅读