Модераторы: LSD, AntonSaburov
  

Поиск:

Ответ в темуСоздание новой темы Создание опроса
> Hibernate + SQL иньекции 
:(
    Опции темы
4epT
Дата 23.12.2010, 12:21 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 784
Регистрация: 13.8.2007

Репутация: 3
Всего: 3
Добрый день) Скажите пожалуйста hibernate как нибудь защищает от SQL - иньекций ?

Вот к примеру такой запрос:

Код

lst = (ArrayList<Users>) session.createCriteria(Users.class).add( Restrictions.eq( "login" , login ) ).list();


если в login передать что то вроде: "login OR '1' = '1'" hibernate это как то отсечет ? или нужно самому писать защиту от таких конструкций ?
PM MAIL   Вверх
MisterCleric
Дата 23.12.2010, 12:35 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1043
Регистрация: 16.2.2006
Где: Харьков, Украина

Репутация: 33
Всего: 38
Привет.
Конечно отсечет
То что ты введешь он превратит в значение параметра. В твой случае это будет строка. А что в этой строке написано это уже не DML
Там же почучится что типа такаго:
Код

SELECT * FROM users where login = 'login OR '1' = '1''


Будет это инекцией, а?


--------------------
ПРИШЕЛ, УВИДЕЛ - ПЕРЕПИСАЛ...
PM MAIL ICQ   Вверх
4epT
Дата 23.12.2010, 12:52 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 784
Регистрация: 13.8.2007

Репутация: 3
Всего: 3
Цитата(MisterCleric @ 23.12.2010,  12:35)
Привет.
Конечно отсечет
То что ты введешь он превратит в значение параметра. В твой случае это будет строка. А что в этой строке написано это уже не DML
Там же почучится что типа такаго:
Код

SELECT * FROM users where login = 'login OR '1' = '1''


Будет это инекцией, а?

конечно же нет)

спасибо)

а вообще защиту нужно какую то писать? или если все запросы строятся на критериях все будет нормально ?) я просто в SQL - инъекциях не силен ... и привел самый примитивный пример.
PM MAIL   Вверх
MisterCleric
Дата 23.12.2010, 15:10 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1043
Регистрация: 16.2.2006
Где: Харьков, Украина

Репутация: 33
Всего: 38
Если все запросы писать как prepared, что и получается в результате использования hibernate, то и никакие инъекции тебе не страшны


--------------------
ПРИШЕЛ, УВИДЕЛ - ПЕРЕПИСАЛ...
PM MAIL ICQ   Вверх
4epT
Дата 23.12.2010, 15:19 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Опытный
**


Профиль
Группа: Участник
Сообщений: 784
Регистрация: 13.8.2007

Репутация: 3
Всего: 3
Цитата(MisterCleric @ 23.12.2010,  15:10)
Если все запросы писать как prepared, что и получается в результате использования hibernate, то и никакие инъекции тебе не страшны

Спасибо большое)

Добавлено через 11 минут и 33 секунды
а можешь объяснить что имеется ввиду prepared запросы?) в поиске что то ничего стоящего не нашел(
PM MAIL   Вверх
MisterCleric
Дата 23.12.2010, 15:36 (ссылка) | (нет голосов) Загрузка ... Загрузка ... Быстрая цитата Цитата


Эксперт
***


Профиль
Группа: Завсегдатай
Сообщений: 1043
Регистрация: 16.2.2006
Где: Харьков, Украина

Репутация: 33
Всего: 38
PreparedStatement


--------------------
ПРИШЕЛ, УВИДЕЛ - ПЕРЕПИСАЛ...
PM MAIL ICQ   Вверх
  
 Ответ в темуСоздание новой темы Создание опроса
Правила форума "Java"
LSD   AntonSaburov
powerOn   tux
  • Прежде, чем задать вопрос, прочтите это!
  • Книги по Java собираются здесь.
  • Документация и ресурсы по Java находятся здесь.
  • Используйте теги [code=java][/code] для подсветки кода. Используйтe чекбокс "транслит", если у Вас нет русских шрифтов.
  • Помечайте свой вопрос как решённый, если на него получен ответ. Ссылка "Пометить как решённый" находится над первым постом.
  • Действия модераторов можно обсудить здесь.
  • FAQ раздела лежит здесь.

Если Вам помогли, и атмосфера форума Вам понравилась, то заходите к нам чаще! С уважением, LSD, AntonSaburov, powerOn, tux.
 
0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема | Java EE (J2EE) и Spring | Следующая тема »

Подписаться на тему | Подписка на этот форум | Скачать/Распечатать тему


 




[ Время генерации скрипта: 0.0660 ]   [ Использовано запросов: 22 ]   [ GZIP включён ]


Реклама на сайте     Информационное спонсорство

 
 По вопросам размещения рекламы пишите на vladimir(sobaka)vingrad.ru
Отказ от ответственности     Powered by Invision Power Board(R) 1.3 © 2003  IPS, Inc.