这样的insert语句是否足够安全?我是否必须检查它是否不是SQL可注入的?
@Autowired
private SessionFactory sessionFactory;
public void add(String title, String region, String def, String rangeStart,
String rangeEnd, Date extradition, Date expiration) {
Session session = null;
session = this.sessionFactory.getCurrentSession();
Query query = session
.createSQLQuery(
"INSERT INTO operators VALUES(NULL,:title,:region,:def,:rangeStart,:rangeEnd, :extradition, :expiration )")
.setString("title", title).setString("region", region)
.setString("def", def).setString("rangeStart", rangeStart)
.setString("rangeEnd", rangeEnd)
.setDate("extradition", extradition)
.setDate("expiration", expiration);
int updated = query.executeUpdate();
}
最佳答案
是的,它对SQL注入攻击足够安全。请注意,Query#executeUpdate将在后台使用PreparedStatement来设置参数数据,这使该语句足够安全。PreparedStatement将直接在指定字段中写入String的内容,转义任何不希望的值。
不过,请注意,如果您对查询的设计不好,则您很容易受到SQL Injection攻击的影响。例如,如果创建查询但手动附加String:
String sqlOpenToSqlInjection = "FROM operators WHERE stringField = " + stringVariable;
Query query = session.createSQLQuery(sqlOpenToSqlInjection);
//code to execute query...
更多信息:
Difference between Statement and PreparedStatement
看起来您也在使用Hibernate,因此保存实体会更好。这将是相似的,但是处理/维护的代码更少。