如何保护 Hibernate QBE 查询

Posted

技术标签:

【中文标题】如何保护 Hibernate QBE 查询【英文标题】:How to secure Hibernate QBE query 【发布时间】:2011-10-08 10:58:06 【问题描述】:

目前,我知道四种用hibernate做事务:

    使用对象 使用 HQL 使用特定于数据库的 SQL 使用标准 (QBE)

好吧,关于它们对注射的抵抗力有多强,我认为这些是(如果我错了,请纠正我):

    安全,因为内部 SQL 调用是参数化的。 如果查询是参数化的,则安全,否则不安全。 与 #2 相同,但不便携。 不安全?

我的问题是关于#4,Query by Example,因为我发现它也很容易受到攻击。示例:

    Account a = new Account(); //POJO class       
    a.setId("1' OR '1'='1");

    //s is a org.hibernate.Session instance
    Criteria crit = s.createCriteria(Account.class);
    crit.add(Example.create(a));
    List results = crit.list();  //table dump!

sn-p 选择整个帐户表。有什么方法可以防止注射吗?怎么样?

注意:我使用的是 Hibernate 3.6.5 final,测试数据库是 HSQLDB。

更新:对我来说似乎也是一个错误,实际上可能与注入的 SQL 无关。尝试使用不存在的值设置 id 并返回所有行。尝试使用 '5'='5' 而不是 '1'='1' 进行注入,并且 5 不会传播到 SQL 调用。它一直使用 (1=1) 作为 where 子句。

更新 2:已解决。请参阅下面的答案。

【问题讨论】:

这对我来说似乎是一个错误。您可能应该将其发布到休眠状态。一般来说,HQL/SQL 参数化是可行的方法(恕我直言)。 @Adam Gent 我知道对 HQL 也可以这样做,但 QBE 不那么冗长,而且您不必检查您不感兴趣的字段的无效性。 我明白你的意思,但我仍然更喜欢 HQL,因为我习惯了 SQL,我使用的其他人也是如此(因此恕我直言)。 【参考方案1】:

Hibernate QBE 忽略 id(映射到 PK)字段。似乎这样做是因为 id 过滤器只会返回一行,这可以通过 get() 或 load() 来实现。我想知道如果我想在 id 上使用 like 条件怎么办???

hibernate官方论坛相关帖子:

https://forum.hibernate.org/viewtopic.php?t=927063

https://forum.hibernate.org/viewtopic.php?t=938036

【讨论】:

【参考方案2】:

您可以清理您的输入,例如在您的代码中,您应该确保为 ID 字段设置了 Long 值。

【讨论】:

以上是关于如何保护 Hibernate QBE 查询的主要内容,如果未能解决你的问题,请参考以下文章

Hibernate 查询方式(HQL/QBC/QBE)汇总

Hibernate 查询方式(HQL/QBC/QBE)汇总

Hibernate查询_HQL_EJBQL_QBC_QBE

扩展Spring Data QBE支持范围查询

HIBERNATE知识复习记录4-HQL和QBC

查询在 QBE 中返回结果,但不是通过 VBA 代码