0

我正在使用版本 1.2.5 的 playframework,我只有一个简单的问题。

如果我使用例如:

public static User findByUsername(String username) {
    return User.find("username = ?", username).first();
}

因此,如果我执行此调用,“JPAQuery find()”或 playframework 是否会阻止跨站点脚本和此类事情?

如果没有,我可以轻松地做些什么来防止它在我的所有数据库交互中发生?

非常感谢。

干杯,

马可

4

2 回答 2

0

从 1.0.1 版本开始,Play 的模板引擎自动转义字符串。此页面上的更多详细信息:playframework owasp top 10

于 2012-07-25T19:45:16.510 回答
0

跨站点脚本并不完全适用于您发布的代码,所以我想您的意思是 SQL 注入。在这种情况下,您发布的代码应该是安全的。(错误的方法是通过将字符串与+运算符连接来构建查询。)

见这里:http ://www.playframework.org/documentation/1.2.5/security#sql

于 2012-08-15T07:08:09.483 回答