请问Hibernate防范SQL injection attack?如果我正在使用休眠模式,那么我可以完全免受SQL注入攻击吗?我听说使用Hibernate执行dynamic SQLstatement带有用户输入的内置内容可以使攻击者修改语句的含义或执行任意命令SQL commands。
Hibernate
SQL injection attack
dynamic SQLstatement
SQL commands
Hibernate可以防止SQL注入攻击吗?
不,它不能保护错误编写的代码 ,因此在编写查询时需要小心。始终使用准备好的语句样式,例如考虑以下 HQL 查询,
String query1 = "select * from MyBean where id = "+ id; String query2 = "select * from MyBean where id = :id";
query1 仍然容易受到 SQL Injection的攻击 ,而 query2 则不然。
因此,简而言之, hibernate为您提供了许多应用于防止SQL注入攻击的方法。
