Q

防止SQL注入查詢

2011-11-18 159 views 2 likes

2

我有一個使用一些params由用戶輸入的條件查詢，如：防止SQL注入查詢

def query = MyTable.createCriteria() 
def myQueryResult = query.list() { 
    if (params.minToInvestMin) 
       ge('minimalToInvest', params.minToInvestMin.toBigDecimal()) 
    if (params.minToInvestMax) 
       le('minimalToInvest', params.minToInvestMax.toBigDecimal()) 
}

我看了Grails的文檔關於這個問題，以及其他一些文章，但它只談到HQL方式來避免SQL注入。

標準是否在後臺使用HQL？或者更直接地說，這種類型的標準查詢對SQL注入安全嗎？

我對安全問題相當陌生。

2011-11-18 Alexandre Bourlier

A

回答

5

是的，您示例中的標準語句是安全的注入。

Criteria語句只是Hibernate的Criteria API的一個方便的構建器，因此您使用它構造的任何查詢都會得到所有相同的行爲。

2011-11-18 13:39:39

相關問題

11. 如何防止SQL注入？
12. TryParse防止SQL注入嗎？
13. pdo防止sql注入
14. 2012年防止SQL注入
15. 防止SQL注入與PHP
16. 試圖防止sql注入
17. 防止SQL注入在asp.net
18. 防止SQL注入在ZF
19. hibernate命名查詢是否可以防止SQL注入攻擊？
20. Rails - 如何防止postgres find_by_sql查詢的sql注入？
21. 防止SQL注入，同時讓用戶在查詢
22. 這是防止SQL注入Wordpress查詢的最佳方法
23. 無法防止SQL注入在Rails中的查詢
24. 防止SQL注入：我如何使這個查詢注入證明
25. 如何防止從UI中傳入SQL查詢時發生SQL注入攻擊
26. namedparameter查詢如何阻止SQL注入
27. 防止動態SQL中的SQL注入
28. PHP + SQL腳本 - 防止SQL注入
29. LINQ-To-SQL如何防止SQL注入？
30. Sql注入查詢