Spring安全中的HTTP基本身份验证是否可以避免SQL注入

Question

我在 Spring MVC 项目中使用 HTTP 基本身份验证。 Spring 的身份验证是否可以防止 SQL 注入？

有哪位专家可以对此作出说明吗？或者提供声明的链接。

Answer 1

与 Simeon 一致，它与您应用于标准框架的任何底层自定义一样安全。

JdbcDaoImpl 的标准框架实现使用 PreparedStatement 进行所有 JDBC 访问，这应该可以防止 SQL 注入攻击，即使您修改查询也是如此。然而，如果您扩展它或编写自己的实现，那么一切都将失败。

从体系结构的角度来看，您的问题并不完全准确 - 传递身份验证凭据的方法（在您的情况下是基本的）不会直接影响实际到达数据库的内容。凭据的接收和验证之间存在良好的抽象层。我建议查阅 Spring Security 文档以了解为什么会这样。

Answer 2

您如何检查用户凭据？

如果您使用 UserDetailsS​​ervice 来根据数据库检查用户凭据，那么保护自己免受注入的责任就落在您身上，因为您正在构建查询。