0
我正在使用JPA。如果我正在使用本地sql查詢(而不是實體查詢),那麼我的應用程序如何可以安全SQL注入?我需要使用用戶從html表單提交的數據構建本機sql查詢。本機SQL查詢 - SQL注入攻擊
如果我在原生sql中使用參數,我可以避免SQL注入攻擊,但是我的問題是我無法確定用戶提交了多少個數據字段。
A
回答
2
您應該使用位置參數綁定:
String queryString = "select * from EMP e where e.name = ?1";
Query query = em.createNativeQuery(queryString, Employee.class);
query.setParameter(1, "Mickey");
請注意,您不應命名參數綁定(:empName)在查詢的JPA規範說
只有位置參數綁定可以輕易地用於原生查詢。
這應該可以保護您免受SQL注入攻擊。
相關問題
- 1. SQL注入攻擊
- 2. SQL注入攻擊
- 3. 這些SQL查詢中是否存在SQL注入攻擊?
- 4. SQL注入攻擊asp.net
- 5. SQL注入攻擊和django
- 6. Erlang和SQL注入攻擊
- 7. Linq到sql和sql注入攻擊
- 8. 如何防止從UI中傳入SQL查詢時發生SQL注入攻擊
- 9. hibernate命名查詢是否可以防止SQL注入攻擊?
- 10. 這是查詢容易受到SQL注入攻擊
- 11. Hibernate查詢是否容易受到SQL注入攻擊
- 12. 建立在C#(SQL注入攻擊)動態查詢
- 13. 無論是從的Googlebot攻擊保護SQL查詢(谷歌SQL注入)
- 14. 是我的SQL查詢容易受到SQL注入或其他攻擊
- 15. Sql注入 - 下面是否有攻擊?
- 16. 測試一個SQL注入攻擊
- 17. Sql注入攻擊和亞音速
- 18. SQL注入攻擊 - 使用mysqli_multi_query()
- 19. 防止SQL注入和XSS攻擊
- 20. SQL注入/ XSS攻擊可能與preg_replace?
- 21. 用OpenCart保護SQL注入攻擊2.3.0.2
- 22. 這是一個SQL注入攻擊
- 23. 法律網站SQL注入攻擊
- 24. Nhibernate易受SQL注入攻擊嗎?
- 25. 最常用的SQL注入攻擊
- 26. Sql注入查詢
- 27. 你如何檢查你的URL的SQL注入攻擊?
- 28. 是LINQ to SQL InsertOnSubmit()受SQL注入攻擊嗎?
- 29. 「mysqli_real_escape_string」足以避免SQL注入或其他SQL攻擊嗎?
- 30. SQL Server 2008表值是否容易受到SQL注入攻擊?