Hibernate使用中防止SQL注入的几种方案

Hibernate使用中防止SQL注入的几种方案

Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,使得Java程序员可以随心所欲的使用对象编程思维来操纵数据库。

在获取便利操作的同时,SQL的注入问题也值得我们的密切注意,下面就来谈谈几点如何避免SQL注入:

   1.对参数名称进行绑定:


1

2

Query query=session.createQuery(hql);

query.setString(“name”,name);

   

   2.对参数位置进行邦定:


1

2

3

4

Query query=session.createQuery(hql);

query.setString(0,name1);

query.setString(1,name2);

...

    3.setParameter()方法:


1

2

Query query=session.createQuery(hql);

query.setParameter(“name”,name,Hibernate.STRING);

    4.setProperties()方法:


1

2

3

4

5

Entity entity=new Entity();

entity.setXx(“xx”);

entity.setYy(100);

Query query=session.createQuery(“from Entity c where c.xx=:xx and c.yy=:yy ”);

query.setProperties(entity);

  5.HQL拼接方法,这种方式是最常用,而且容易忽视且容易被注入的,通常做法就是对参数的特殊字符进行过滤,推荐大家使用 Spring工具包的StringEscapeUtils.escapeSql()方法对参数进行过滤:


1

2

3

4

public static void main(String[] args) {

  String str = StringEscapeUtils.escapeSql("‘");

  System.out.println(str);

}

输出结果:‘‘

===================================================================================

Hibernate中对动态查询参数绑定提供了丰富的支持,那么什么是查询参数动态绑定呢?其实如果我们熟悉传统JDBC编程的话,我们就不难理解查询参数动态绑定,如下代码传统JDBC的参数绑定:

PrepareStatement pre=connection.prepare(“select * from User where user.name=?”); 
pre.setString(1,”zhaoxin”); 
ResultSet rs=pre.executeQuery();

在Hibernate中也提供了类似这种的查询参数绑定功能,而且在Hibernate中对这个功能还提供了比传统JDBC操作丰富的多的特性,在Hibernate中共存在4种参数绑定的方式,下面我们将分别介绍:

A、 按参数名称绑定:

在HQL语句中定义命名参数要用”:”开头,形式如下: 
Query query=session.createQuery(“from User user where user.name=:customername and user:customerage=:age ”); 
query.setString(“customername”,name); 
query.setInteger(“customerage”,age);

上面代码中用:customername和:customerage分别定义了命名参数customername和customerage,然后用Query接口的setXXX()方法设定名参数值,setXXX()方法包含两个参数,分别是命名参数名称和命名参数实际值。

B、 按参数位置邦定:

在HQL查询语句中用”?”来定义参数位置,形式如下: 
Query query=session.createQuery(“from User user where user.name=? and user.age =? ”); 
query.setString(0,name); 
query.setInteger(1,age);

同样使用setXXX()方法设定绑定参数,只不过这时setXXX()方法的第一个参数代表邦定参数在HQL语句中出现的位置编号(由0开始编号),第二个参数仍然代表参数实际值。

注:在实际开发中,提倡使用按名称邦定命名参数,因为这不但可以提供非常好的程序可读性,而且也提高了程序的易维护性,因为当查询参数的位置发生改变时,按名称邦定名参数的方式中是不需要调整程序代码的。

C、 setParameter()方法:

在Hibernate的HQL查询中可以通过setParameter()方法邦定任意类型的参数,如下代码: 
String hql=”from User user where user.name=:customername ”; 
Query query=session.createQuery(hql); 
query.setParameter(“customername”,name,Hibernate.STRING);

如上面代码所示,setParameter()方法包含三个参数,分别是命名参数名称,命名参数实际值,以及命名参数映射类型。对于某些参数类型setParameter()方法可以更具参数值的Java类型,猜测出对应的映射类型,因此这时不需要显示写出映射类型,像上面的例子,可以直接这样写:

query.setParameter(“customername”,name);但是对于一些类型就必须写明映射类型,比如java.util.Date类型,因为它会对应Hibernate的多种映射类型,比如Hibernate.DATA或者Hibernate.TIMESTAMP。

D、 setProperties()方法:

在Hibernate中可以使用setProperties()方法,将命名参数与一个对象的属性值绑定在一起,如下程序代码:

Customer customer=new Customer(); 
customer.setName(“pansl”); 
customer.setAge(80); 
Query query=session.createQuery(“from Customer c where c.name=:name and c.age=:age ”); 
query.setProperties(customer);

setProperties()方法会自动将customer对象实例的属性值匹配到命名参数上,但是要求命名参数名称必须要与实体对象相应的属性同名。

这里还有一个特殊的setEntity()方法,它会把命名参数与一个持久化对象相关联,如下面代码所示:

Customer customer=(Customer)session.load(Customer.class,”1”); 
Query query=session.createQuery(“from Order order where order.customer=:customer ”); 
query. setEntity(“customer”,customer); 
List list=query.list();

上面的代码会生成类似如下的SQL语句:

Select * from order where customer_ID=’1’;

原文地址:https://www.cnblogs.com/520future/p/8999343.html

时间: 2024-08-21 18:06:50

Hibernate使用中防止SQL注入的几种方案的相关文章

防止sql注入的三种方法

常用的避免SQL注入的三种方法 一,存储过程 在学习数据库视频的时候接触过,它是存储在数据库中的一些事先编译好的指令.在用的时候不用重新编写,直接调用就好了.所以,使用它可以大大提高程序的执行效率. 那么,如果创建一个存储程序并使用它呢?这是我们今天要解决的问题 1.创建过程 可编程性--下拉菜单--存储过程--右键--查询菜单--指定模板参数的值--新建查询--输入语句--查询菜单中的分析检查语法是否正确--执行 2.具体创建语法 在创建存储程序时,为了应对各种变换的数据,通常会涉及到带参数的

预处理(防止sql注入的一种方式)

<!--- 预处理(预编译) ---> <?php/* 防止 sql 注入的两种方式: 1. 人为提高代码的逻辑性,使其变得更严谨,滴水不漏. 比如说 增加判断条件,增加输入过滤等,但是智者千虑必有一失.(不推荐) 2. sql 语句的预处理*/ // 预处理: 就是在程序正式编译之前,事先处理,因为有些功能实现是一样的,只是发生了一些简单的值替换 /* ********** 预处理的原理: ********* insert into register_info values(?,?,?

Hibernate一些防止SQL注入的方式

Hibernate在操作数据库的时候,有以下几种方法来防止SQL注入,大家可以一起学习一下. 1.对参数名称进行绑定: Query query=session.createQuery(hql); query.setString(“username”,name); 2.对参数位置进行邦定: Query query=session.createQuery(hql); query.setString(0,username1); query.setString(1,username2); 3.setPa

防止 jsp被sql注入的五种方法

一.SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库. 二.SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三.SQL注入攻击实例 比如在一个登录界面,要求输入用户名和密码: 可以这样输入实现免帐号登录: 用户名: ‘or 1 = 1 – 密 码: 点登陆,如若没有做特殊处理,那么这个

java程序中sql注入分析及优化方案

先来看看百度百科的解释: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句.比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到sql注入攻击. 1.java程序

Java防止SQL注入

http://blog.csdn.net/abc19900828/article/details/39501349 SQL 注入简介:        SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入: 比如在一个登陆界面,要求用户输入用户名和密码: 用户名:     ' or 1=1 -- 密     码: 点登陆,如若没有做特殊处理,而只是一条带条件的查询语句如: Stri

ref:Java防止SQL注入

ref:https://blog.csdn.net/abc19900828/article/details/39501349 小结:spring采用JdbcTemplate来操作sql,一般不要自行拼接sql,而是使用参数化的构造方式,则不会存在注入问题. SQL 注入简介:        SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入: 比如在一个登陆界面,要求用户输入用

PHP之防御sql注入攻击的方式

长期以来,web的安全性存在着巨大的争议与挑战.其中,sql注入就是一种常见的一种攻击方法,开发人员普遍的做法就是不停的过滤,转义参数,可是我们php大法天生弱类型的机制,总是让黑客有机可乘,绕过防御与防御总是在明争暗斗. 兄弟连(www.lampbrother.net )PHP大牛说过一句话,在一个程序中, 60% 的代码都应该是在进行各种防御. 其实,现在来看,防御sql注入其实并不需要进行各种参数过滤,以下将开启干货模式! PHP5.x开始引入了一种新的mysql操作方式-----mysq

PHP之防御sql注入攻击的方式 【兄弟连分享经验技巧】

长期以来,web的安全性存在着巨大的争议与挑战.其中,sql注入就是一种常见的一种攻击方法,开发人员普遍的做法就是不停的过滤,转义参数,可是我们php天生弱类型的机制,总是让黑客有机可乘,绕过防御与防御总是在明争暗斗. PHP大牛说过一句话,在一个程序中,60%的代码都应该是在进行各种防御. 其实,现在来看,防御sql注入其实并不需要进行各种参数过滤,以下将开启干货模式! PHP5.x开始引入了一种新的mysql操作方式-----mysqli,在php中也有一项相应的操作方式叫做PHP预处理.采