Hibernate createSQLQuery - 它如何验证 SQL?
Hibernate createSQLQuery - How does it validate the SQL?
我有一些代码可以将用户的搜索词翻译成 MySQL 查询:
String sql = String.format("SELECT * FROM my_table WHERE my_column = '%s'", value);
HibernateUtil.getCurrentSession().createSQLQuery(sql);
为了测试我是否受到保护——并且因为我认为以这种方式学习会很有趣——我想尝试 SQL 注入我自己的应用程序。所以我搜索了:
x'; DROP TABLE test;--
这导致以下查询:
SELECT * FROM my_table WHERE my_column = 'x'; DROP TABLE test;--
但是 Hibernate 抛出 SQLGrammarException。当我通过 phpMyAdmin 运行 这段代码时,它正确地删除了测试 table。
Hibernate 如何验证我的 SQL?也许更重要的是——这是保护我免受 SQL 注入还是我应该使用 setParameter。如果它不能保护我,我可以举一个执行注入的 SQL 的例子吗?我认为实际验证会很有趣。
根据 Hibermate documentation,方法 createSQLQuery "Create a new instance of Query for the given SQL string",因此我们可以假设 Hibernate 在每次调用时执行 SQL 检查单个查询这个方法。
重要提示:在 Hibernate 上不推荐使用创建SQL查询,请查看上面给出的 link 以查看执行 SQL 查询的更新方法。
现在,谈到如何保护自己免受 SQL 注入,最好的方法是在查询中使用参数。
This question 有您需要的示例,请查看。
希望对你的学习有所帮助,祝你好运!
您不会执行多个语句,因为createSQLQuery 只允许一个语句。在这里保护您的不是 Hibernate,而是您的 JDBC 驱动程序和您的数据库 - 因为它不知道如何在单个语句的上下文中处理分隔符 ;。
但是您仍然不能安全地防止 SQL 注入。在这种情况下,还有很多其他的可能性可以注入 SQL 。举个例子:
假设您正在查询中搜索一些用户特定的项目:
String sql = String.format(
"SELECT * FROM my_table WHERE userId = %s AND my_column = '%s'",
currentUserId, value);
用户现在可以输入:
x' OR '1' = '1
这将导致 SQL:
SELECT * FROM my_table WHERE userId = 1234 AND my_column = 'x' OR '1' = '1'
并且由于 AND 具有更高的优先级,他将看到 所有 个项目 - 甚至是其他用户的项目。
即使您提供的示例也可能很危险,例如
x' OR (SELECT userName FROM USER) = 'gwg
如果您的数据库包含一个名为 gwg 的用户,我会告诉我(假设我知道您的数据库布局,我可以通过类似的查询找到它)。
我有一些代码可以将用户的搜索词翻译成 MySQL 查询:
String sql = String.format("SELECT * FROM my_table WHERE my_column = '%s'", value);
HibernateUtil.getCurrentSession().createSQLQuery(sql);
为了测试我是否受到保护——并且因为我认为以这种方式学习会很有趣——我想尝试 SQL 注入我自己的应用程序。所以我搜索了:
x'; DROP TABLE test;--
这导致以下查询:
SELECT * FROM my_table WHERE my_column = 'x'; DROP TABLE test;--
但是 Hibernate 抛出 SQLGrammarException。当我通过 phpMyAdmin 运行 这段代码时,它正确地删除了测试 table。
Hibernate 如何验证我的 SQL?也许更重要的是——这是保护我免受 SQL 注入还是我应该使用 setParameter。如果它不能保护我,我可以举一个执行注入的 SQL 的例子吗?我认为实际验证会很有趣。
根据 Hibermate documentation,方法 createSQLQuery "Create a new instance of Query for the given SQL string",因此我们可以假设 Hibernate 在每次调用时执行 SQL 检查单个查询这个方法。
重要提示:在 Hibernate 上不推荐使用创建SQL查询,请查看上面给出的 link 以查看执行 SQL 查询的更新方法。
现在,谈到如何保护自己免受 SQL 注入,最好的方法是在查询中使用参数。
This question 有您需要的示例,请查看。
希望对你的学习有所帮助,祝你好运!
您不会执行多个语句,因为createSQLQuery 只允许一个语句。在这里保护您的不是 Hibernate,而是您的 JDBC 驱动程序和您的数据库 - 因为它不知道如何在单个语句的上下文中处理分隔符 ;。
但是您仍然不能安全地防止 SQL 注入。在这种情况下,还有很多其他的可能性可以注入 SQL 。举个例子:
假设您正在查询中搜索一些用户特定的项目:
String sql = String.format(
"SELECT * FROM my_table WHERE userId = %s AND my_column = '%s'",
currentUserId, value);
用户现在可以输入:
x' OR '1' = '1
这将导致 SQL:
SELECT * FROM my_table WHERE userId = 1234 AND my_column = 'x' OR '1' = '1'
并且由于 AND 具有更高的优先级,他将看到 所有 个项目 - 甚至是其他用户的项目。
即使您提供的示例也可能很危险,例如
x' OR (SELECT userName FROM USER) = 'gwg
如果您的数据库包含一个名为 gwg 的用户,我会告诉我(假设我知道您的数据库布局,我可以通过类似的查询找到它)。