Hibernate
是否能防范SQL注入攻击
?如果我使用Hibernate,那么我就完全不用担心SQL注入攻击了吗?我听说使用Hibernate执行由用户输入构建的动态SQL语句
可能会允许攻击者修改语句的含义或执行任意SQL命令
。
Hibernate
是否能防范SQL注入攻击
?如果我使用Hibernate,那么我就完全不用担心SQL注入攻击了吗?我听说使用Hibernate执行由用户输入构建的动态SQL语句
可能会允许攻击者修改语句的含义或执行任意SQL命令
。
Hibernate是否防范SQL注入攻击?
不,它不能保护错误编写的查询语句。因此,您在编写查询语句时需要小心。始终使用准备好的语句样式,例如,请考虑下面的HQL查询:
String query1 = "select * from MyBean where id = "+ id;
String query2 = "select * from MyBean where id = :id";
查询1仍然容易受到SQL注入攻击,而查询2则不会。
简而言之,Hibernate提供了许多方法,您应该使用这些方法来保护自己免受SQL注入攻击。