Hibernate Criteria Api是否完全防止SQL注入

我正在使用Hibernate保护我的网站免受SQL注入。

我听说Hibernate Criteria API比HQL更强大。 Hibernate Criteria Api是否完全防止SQL注入？

是的，它确实。

Criteria API以及HQL或JPQL中的查询参数都会转义参数，并且不会执行恶意SQL。

只有将参数连接到查询中时，才会暴露此漏洞。然后，任何恶意SQL都会成为您查询的一部分。

编辑 OWASP具有SQL注入预防备忘单 。使用条件查询等同于防御选项1：使用预准备语句。

Interesting Posts

在JPA 2 Criteria API中选择DISTINCT + ORDER BY

Eclipselink扩展了JOIN子句

JPA / Metamodel：Sun Docs中的奇怪（不一致？）示例

JPA 2 – 在CriteriaQuery中使用@ElementCollection

下划线连接到类名是什么意思？

EntityManager注入 – NullPointerException

JPA Criteria API – 如何添加JOIN子句（作为一般句子）

使用Criteria API创建查询（JPA 2.0）

如何在具有枚举字段的实体上使用JPA CriteriaQuery填充DTO类字符串字段？

需要帮助创建JPA条件查询