我使用Hibernate来防止SQL注入我的网站。
我听说的Hibernate API的标准比HQL更强大。 是否休眠条件查询API完全从SQL注入保护?
Answer 1:
是的,它确实。
标准API以及查询参数的HQL或JPQL都逃脱参数,也不会执行恶意SQL。
如果你只是在连接参数到你的查询,该漏洞仅暴露。 然后,任何恶意SQL成为你查询的一部分。
编辑 OWASP有SQL注入预防的cheatsheet 。 使用标准的查询等同于防御选项1:使用预处理语句。
文章来源: Does Hibernate Criteria Api completely protect from SQL Injection
