我使用Hibernate来操作我的数据库,现在我想让我的数据库层免受SQL注入攻击,所以我进行了一些研究,发现我的查询应该是参数化的。那么这是否意味着,如果我将我的HQL查询结构化为:
List mothers = session.createQuery(
"select mother from Cat as cat join cat.mother as mother where cat.name = ?")
.setString(0, name)
.list();
然后将其参数化并保护免受SQL注入攻击,或者还需要进行其他操作吗...
还有一件事被提到 - "始终转义您的数据" 如何实现??
setString() 是什么,但如果它与 setParameter() 相同,则是足够防止 SQL 注入的。
更新
通过转义数据,意味着您必须确保不将危险的值存储在数据库中。String name = "<script>alert('Hello');</script>";
//insert this name into Mother, and then when you load it from the database, it will be displayed
List mothers = session.createQuery(
"select mother from Cat as cat join cat.mother as mother where cat.name = ?")
.setString(0, name)
.list();
针对您的问题,下一次从数据库中加载并在您的Web浏览器中呈现时,将运行该脚本。
您需要确保您的框架转义所有非法字符,即在将其插入数据库之前将<更改为<。
如果您的框架没有这样做,您需要手动完成。
有很多库可以正确地为您转义代码。例如,请参阅此问题和其中的答案。