防止 Sql 注入 (Java)
Prevent Sql Injection (Java)
我想保护我的应用程序免受 SQL 注入攻击。
第一个问题:更好的方法是什么?
第一种方法:我这里把每个请求都转成json:
public JsonObject requestToJson(HttpServletRequest request) throws UnsupportedEncodingException{
request.setCharacterEncoding("UTF-8");
StringBuffer jb = new StringBuffer();
String line = null;
try {
BufferedReader reader = request.getReader();
while ((line = reader.readLine()) != null)
jb.append(line);
} catch (Exception e) { /*report an error*/ }
return new JsonParser().parse(jb.toString()).getAsJsonObject();
}
如果这是最好的方法,在这里防止它,那么第二个问题:如何在这里做?
第二种方法:可以通过Hibernate级别来完成。 第二个问题:怎么做?
感谢这位用户:Elliott Frisch。他在评论中回答。
像这样的 JPARepository 已经阻止了 SQL 注入:
public interface UserRepository extends JpaRepository<User, Integer> {
User findByPhoneNumber(String phoneNumber);
}
如果你使用HQL只需要防止:
String query1 = "select * from MyBean where id = "+ id;
String query2 = "select * from MyBean where id = :id";
第二个,会保住。
谢谢大家。
我想保护我的应用程序免受 SQL 注入攻击。
第一个问题:更好的方法是什么?
第一种方法:我这里把每个请求都转成json:
public JsonObject requestToJson(HttpServletRequest request) throws UnsupportedEncodingException{
request.setCharacterEncoding("UTF-8");
StringBuffer jb = new StringBuffer();
String line = null;
try {
BufferedReader reader = request.getReader();
while ((line = reader.readLine()) != null)
jb.append(line);
} catch (Exception e) { /*report an error*/ }
return new JsonParser().parse(jb.toString()).getAsJsonObject();
}
如果这是最好的方法,在这里防止它,那么第二个问题:如何在这里做?
第二种方法:可以通过Hibernate级别来完成。 第二个问题:怎么做?
感谢这位用户:Elliott Frisch。他在评论中回答。
像这样的 JPARepository 已经阻止了 SQL 注入:
public interface UserRepository extends JpaRepository<User, Integer> {
User findByPhoneNumber(String phoneNumber);
}
如果你使用HQL只需要防止:
String query1 = "select * from MyBean where id = "+ id;
String query2 = "select * from MyBean where id = :id";
第二个,会保住。
谢谢大家。