目前,我知道四种使用hibernate进行事务:
- 使用对象
- 使用 HQL
- 使用特定于数据库的 SQL
- 使用标准 (QBE)
好吧,关于它们对注射的抵抗力有多强,我认为这些是(如果我错了,请纠正我):
- 安全,因为内部 SQL 调用是参数化的。
- 如果查询是参数化的,则安全,否则不安全。
- 与#2 相同,但不便携。
- 不安全?
我的问题是关于#4,Query by Example,因为我发现它也很容易受到攻击。例子:
Account a = new Account(); //POJO class
a.setId("1' OR '1'='1");
//s is a org.hibernate.Session instance
Criteria crit = s.createCriteria(Account.class);
crit.add(Example.create(a));
List results = crit.list(); //table dump!
该片段选择整个帐户表。有什么方法可以防止注射吗?如何?
注意:我使用的是 Hibernate 3.6.5 final,测试数据库是 HSQLDB。
更新:对我来说似乎也是一个错误,实际上可能与注入的 SQL 无关。尝试使用不存在的值设置 id 并返回所有行。尝试使用 '5'='5' 而不是 '1'='1' 进行注入,并且 5 不会传播到 SQL 调用。它继续使用 (1=1) 作为 where 子句。
更新 2:已解决。请参阅下面的答案。