彻底干掉恶心的SQL注入漏洞，一网打尽！

发布时间：2019-07-25 01:35:00 所属栏目：MySql教程来源：佚名

导读：副标题#e# 简介文章主要内容包括： Java 持久层技术/框架简单介绍不同场景/框架下易导致 SQL 注入的写法如何避免和修复 SQL 注入 JDBC 介绍 JDBC：全称 Java Database Connectivity 是 Java 访问数据库的 API，不依赖于特定数据库 ( database-independe

存在 SQL 注入

String sql = "select * from user where name = '" + name + "'";  
   // deprecated  
   // Query query = session.createSQLQuery(sql);  
   Query query = session.createNativeQuery(sql);

使用参数绑定来设置参数值

String sql = "select * from user where name = :name";  
   // deprecated  
   // Query query = session.createSQLQuery(sql);  
   Query query = session.createNativeQuery(sql);  
   query.setParameter("name", name);

JPA

JPA 中使用 JPQL (Java Persistence Query Language)，同时也支持 native sql，因此和 Hibernate 存在类似的问题，这里就不再细说，感兴趣的可以参考：

https://software-security.sans.org/developer-how-to/fix-sql-injection-in-java-persistence-api-jpa

【编辑推荐】

如何选择高性能NoSQL数据库
挑战 Oracle 的全球首个 AI 原生数据库 GaussDB，华为将开源
直接在 DNA 上执行 SQL 操作，已通过 PostgreSQL 验证
详解MySQL索引长度和区分度之间的平衡，值得收藏
一个简单易用的开源BI软件，专为SQL用户设计的开源库

【责任编辑：庞桂玉 TEL：（010）68476606】
点赞 0

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

7/7

首页

MySQL之日志管制	如何使用mysql索引
Anemometer图形化显示	mysql数据库explain命

彻底干掉恶心的SQL注入漏洞， 一网打尽！

彻底干掉恶心的SQL注入漏洞，一网打尽！