我需要留意的Java持久性API（JPA）

Question

的安全問題我開始學習JPA，並且我有大量的遺留EJB2.0代碼需要重構才能使用新功能以及我將添加到代碼庫中的任何新功能。在我的代碼中是否需要考慮新的攻擊媒介，還是防禦性編程會覆蓋我？

Answer 1

JPA就像JDBC：後端技術。適用於JDBC的安全問題適用於JPA。因此，大多數安全考慮將在應用程序級別上實現，或由前端API處理。但事實上JPQL注入是一個你應該知道的明顯的注入。

JPQL注：

使用SQL或JDBC API時一樣，你永遠不應該直接將參數添加到查詢字符串。您應該使用Query對象上的setParameter（適用於特別和命名查詢），或者可以使用JPA criteria API（儘管命名查詢提供最佳性能）。

Query query = em.createQuery("DELETE Order WHERE customer = :customer"); 
query.setParameter("customer", customer); 
query.executeUpdate(); 

數據庫權限：

對於額外的安全性，你可以把多個持久單元（PU），因此任何安全漏洞的影響是有限的。例如，您可以創建具有不同數據庫訪問權限的多個PU：一個具有更新權限，另一個具有隻讀查詢訪問權限。只要意識到這樣的決定會影響你的應用程序設計。

Answer 2

如果您是從一個不受信任的源接收的字節反序列化一個對象，那麼它可以導致啓動類路徑上的任何類加載，無論是否公開，並導致該類初始化運行。它也可以通過具有副作用的構造函數和通過自定義反序列化方法獲得權限。

如果你的類路徑中包括衆所周知的公開課與無限的權力，如Rhino解釋附帶最近的JVM，或者javax.tools接口javac的，和這種權力是通過序列化類的構造函數訪問，那麼攻擊者可以使用它來執行任意的java代碼。實際上，這意味着通過java.lang.Runtime具有當前用戶的特權的任意用戶鈴聲代碼。

第一個標準很容易滿足。第二個可能不太容易滿足。