Wie SQL zweiter Ordnung Injektionen in Java (Frühjahr Application)

Question

Ich habe gegenüber der zweiten Ordnung SQL-Injection in diesem folgenden Code

if(subjectId!=null){Query query= sessionFactory 
      .getCurrentSession() 
      .createSQLQuery(HubQueryConstants.GET_QUERY) 
      .setParameter(MyConstants.SUBJECT_ID, subjectId) 
      .setFirstResult(offset) 
      .setMaxResults(limit) 
      .setResultTransformer(
        Transformers.aliasToBean(MyClass.class));} 

My Constant-Datei ist zu verhindern:

Constant Datei Abschlussklasse

GET_QUERY="Select * from MyClass where id=:id "; 

obwohl es in statischer Abfrage standardmäßig immer noch mein Sicherheitsbericht ist, wird es als zweite Ordnung SQL-Injektion geben

Sollen wir Konstanten in der Schnittstelle deklarieren? um Sicherheitsprobleme zu vermeiden?

Answer 1

Eine SQL-Injection tritt auf, wenn ein Platzhalter durch einen SQL-Ausdruck ersetzt wird, der die ursprüngliche SQL-Zeichenfolge ändert, sodass SQL etwas anderes als beabsichtigt tut.

Sie können weitere Informationen finden Sie unter SQL_injection

SQL-Injection geschieht, wenn die Platzhalter des Parameters ersetzt werden. Das Deklarieren von Konstanten anstatt das SQL aus einer Eigenschaft zu lesen, hilft also nicht. Die Injektion erfolgt später unabhängig davon, wo die SQL-Zeichenfolge abgerufen wurde.

Der einfachste Weg, die SQL-Injektion zu verhindern, ist die Verwendung vorbereiteter Anweisungen.

Wenn eine vorbereitete Anweisung ausgeführt wird, werden die SQL-Zeichenfolge und die Parameter vom SQL-Server vollständig getrennt verarbeitet, wodurch die SQL-Injektion unmöglich wird.

Mit JPA können Sie die Annotation javax.persistence.NamedNativeQuery; verwenden, um eine SQL-Abfrage zu deklarieren, die als vorbereitete Anweisung ausgeführt wird.

finden Sie einen Tutorial NamedNativeQuers am Ende jpa-native-queries