Vorbeugung gegen SQL-Injektion in Hibernate

Question

Ich habe Hibernate verwendet, um mit meiner Datenbank zu interagieren, jetzt wollte ich meine Datenbank-Schicht gegen SQL-Injection sichern, also habe ich einige Nachforschungen und ich fand heraus, dass meine Abfragen parametrisiert werden sollten es bedeuten, wenn ich meine HQL-Abfragen strukturieren wie:

List mothers = session.createQuery(
"select mother from Cat as cat join cat.mother as mother where cat.name = ?") 
.setString(0, name) 
.list(); 

Dann ist es parametrisiert und von SQL-Injection geschützt, oder gibt es etwas anderes, was ich tun muss ...

Eine andere Sache erwähnt wurde - "Immer entkommen Sie Ihre Daten "Wie kann das erreicht werden?

Answer 1

Ich weiß nicht über setString() aber wenn es das gleiche ist wie setParameter() dann ja, es ist genug, das zu tun, um sql Injektion zu verhindern.

aktualisieren

von Daten zu entkommen, bedeutet, dass Sie sicher, müssen Sie gefährliche Werte nicht in der Datenbank zu speichern sind.

Ein kurzes Beispiel ist zum Beispiel, wenn Sie in dem Argumente

String name = "<script>alert('Hello');</script>"; 
//insert this name into Mother, and then when you load it from the database, it will be displayed  

List mothers = session.createQuery(
"select mother from Cat as cat join cat.mother as mother where cat.name = ?") 
.setString(0, name) 
.list(); 

auf Ihre Anfrage passieren, dann sind Sie beim nächsten Mal dieses aus der Datenbank laden, und machen es in Ihrem Web-Browser, wird es das Skript ausführen .
Sie müssen sicherstellen, dass Ihr Framework alle ungültigen Zeichen entfernt, dh: Ändern Sie < in <, bevor Sie es in die Datenbank einfügen.
Wenn Ihr Framework dies nicht tut, müssen Sie es manuell tun. Es gibt Tonnen von Bibliotheken da draußen, die Code für Sie korrekt entkommt. Schauen Sie sich zum Beispiel this question an und die Antworten dort.