JPA 中可能存在 SQL 注入攻击吗？

Question

我正在使用 Java EE 6 和 JSF-2.0 构建一个 Java Web 应用程序，并对所有数据库操作使用持久性 API。

后端是 MySQL，但我使用了 EntityManager 函数和 EJB-QL 中的命名查询来执行所有操作。在这种情况下是否可能发生 SQL 注入攻击？

Answer 1

只有当您像这样在 SQL/JPQL 字符串中内联用户控制的变量时才有可能：

String sql = "SELECT u FROM User u WHERE id=" + id;

如果您不这样做并且仅使用参数化/命名查询，那么您就是安全的。

Answer 2

是的，这是可能的。这取决于您的实施方式。
查看防止 JPA 查询语言中的注入。

Answer 3

如果您的 JPA 提供程序处理所有输入参数来处理注入攻击，那么您应该受到保护。我们在 EclipseLink 中进行精简。

正如前面的发帖人提到的，将您自己的 JPQL 或 SQL（用于本机查询）拼凑在一起可能会让您暴露。

我建议使用带参数的命名查询而不是连接字符串来构建 JPQL/SQL。

道格

Answer 4

如果您从进攻/实用的角度提出问题，如果 JPQL 语句是根据用户输入构建的，请考虑以下用户输入：

blah') AND FUNCTION('user like chr(65)||chr(37) ) 和 42-', 1) > 40 AND ('42'='42

如果受害者使用的是 JPA 实现 >= 2.1，并且后端数据库是 Oracle，类似上面的内容可能会充当布尔 SQL 注入来告诉您数据库是否用户以“A”开头。