如何保护 Hibernate QBE 查询的安全

发布于 2024-11-25 04:18:46 字数 862 浏览 1 评论 0原文

目前，我知道四种使用 hibernate 进行事务处理的方法：

使用对象
使用 HQL
使用特定于数据库的 SQL
使用条件 (QBE)

好吧，关于它们对抗注入的能力有多强，我认为这些是（如果我错了，请纠正我） )：

安全，因为内部 SQL 调用是参数化的。
如果查询被参数化，则安全，否则不安全。
与#2 相同，但不那么便携。
没有安全感？

我的问题是关于#4，通过示例查询，因为我发现它也很容易受到攻击。示例：

    Account a = new Account(); //POJO class       
    a.setId("1' OR '1'='1");

    //s is a org.hibernate.Session instance
    Criteria crit = s.createCriteria(Account.class);
    crit.add(Example.create(a));
    List results = crit.list();  //table dump!

该片段选择整个帐户表。有什么办法可以防止注射吗？如何？

注意：我使用的是 Hibernate 3.6.5 Final，测试数据库是 HSQLDB。

更新：对我来说似乎也是一个错误，实际上可能与注入的 SQL 无关。尝试使用不存在的值设置 id 并返回所有行。尝试使用 '5'='5' 而不是 '1'='1' 进行注入，并且 5 不会传播到 SQL 调用。它继续使用 (1=1) 作为 where 子句。

更新2：已解决。请参阅下面的答案。

原文

By the moment, I know four kinds of doing transactions with hibernate:

Using objects
Using HQL
Using DB-specific SQL
Using criteria (QBE)

Well, regarding how strong are they against injections, I think these are (correct me if I'm wrong):

Secure, because the internal SQL call is parameterized.
Secure if the query is parameterized, insecure otherwise.
Same as #2 but not as portable.
Insecure?

My question is about #4, Query by Example, because i've found it is also vulnerable. Example:

    Account a = new Account(); //POJO class       
    a.setId("1' OR '1'='1");

    //s is a org.hibernate.Session instance
    Criteria crit = s.createCriteria(Account.class);
    crit.add(Example.create(a));
    List results = crit.list();  //table dump!

That snippet selects the whole accounts table. Is there any way to prevent injection? How?

NOTE: I'm using Hibernate 3.6.5 final, the testing database is HSQLDB.

UPDATE: Seems like a bug to me too, and indeed may be not related to the injected SQL. Tried setting the id with a nonexistent value and also returns all the rows. Tried the injection with '5'='5' instead of '1'='1' and the 5 is not propagated to the SQL call. It keeps using (1=1) as where clause.

UPDATE 2: Solved. See the answer below.

分享到QQ

分享到微博