持久化框架一定能防止SQL注入?

Y_Snowfree 2014-05-02 12:49:01
持久化框架一定能防止SQL注入吗?
用了持久化框架,但是安全扫描的时候还是有SQL注入和盲注的安全漏洞。
...全文
644 13 打赏 收藏 转发到动态 举报
写回复
用AI写文章
13 条回复
切换为时间正序
请发表友善的回复…
发表回复
zy_think123 2014-07-28
  • 打赏
  • 举报
 回复
互联网哪有绝对的安全,要么别上网
chtxia 2014-07-28
  • 打赏
  • 举报
 回复
设置参数的时候要注意,不能给一些额外的参数添加入口, 诚然,框架不能解决所有的问题
树成 2014-07-28
  • 打赏
  • 举报
 回复
引用 7 楼 hutiefang 的回复:
1如果你某些方法还是是使用sql语句直接跑呢。 2而且还使用拼接字符串就更不好说了 3使用不推荐的有缺陷的方法 4利用框架漏洞 5过滤器或者拦截器没有完全覆盖到
我说,你既然用了框架,那你就要用啊,就好像你问别人你拿AK47是不是可以干掉一个拿刀的,我跟你说可以,你TMD用枪把子去敲他,你要我怎么办?
teemai 2014-05-06
  • 打赏
  • 举报
 回复
只能说在一定程度上预防了一点。不能说完全防止sql注入
中华雪碧 2014-05-06
  • 打赏
  • 举报
 回复
1.可能框架本身有bug。2.你写代码的方式,比如是拼接hql。都会有影响
tony4geek 2014-05-06
  • 打赏
  • 举报
 回复
道高一尺 ,底下你懂得
hutiefang 2014-05-06
  • 打赏
  • 举报
 回复
1如果你某些方法还是是使用sql语句直接跑呢。 2而且还使用拼接字符串就更不好说了 3使用不推荐的有缺陷的方法 4利用框架漏洞 5过滤器或者拦截器没有完全覆盖到
sunbo624 2014-05-04
  • 打赏
  • 举报
 回复
只要你完全按照ORM的思想 就能防止
小螃蟹111 2014-05-02
  • 打赏
  • 举报
 回复
不能,还得看你自己怎么写程序
wuyue-tiger 2014-05-02
  • 打赏
  • 举报
 回复
不能彻底防止,防止SQL的关键是要注意不能将输入参数随意拼入SQL,当然包括其它形式的SQL变形,如HQL。
Y_Snowfree 2014-05-02
  • 打赏
  • 举报
 回复
引用 1 楼 testcs_dn 的回复:
持久化框架用的什么? 安全扫描用的什么工具?
不是说持久化框架能防止么,用的APPSCAN扫描的
微wx笑 2014-05-02
  • 打赏
  • 举报
 回复
持久化框架用的什么? 安全扫描用的什么工具?
java项目中如何防止sql注入
SQL注入就是客户端在向服务器发送请求的时候,sql命令通过表单提交或者url字符串拼接传递到后台持久层,最终达到欺骗服务器执行恶意的SQL命令; 实践 项目中如何防止sql注入呢,有以下三点: 前端表单进行参数...
【Mybatis】Mybatis如何防止sql注入
MyBatis 作为一款流行的持久框架,提供了多种机制来防范 SQL 注入攻击,开发者应当充分利用这些机制,保障应用程序的数据安全性。在应对 SQL 注入攻击时,MyBatis 的参数 SQL 语句、动态 SQL 标签以及拦截器等...
mybaits如何防止SQL注入:mybatis的${}和#{}
为什么#可以防止SQL注入? #{} 占位符,${} 拼接符 #占位符对应的SQL是占位作用的,也就是形成的SQL对应的位置会用引号括起来,对于SQL来说就是一个参数而已。 $它是拼接符号,不是引号括起来的,它对应一串字符是...
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
预编译可以将SQL语句模板,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构...
如何防止SQL注入
一、如何防止SQL注入? 尽量避免使用常见的数据库名和数据库结构。SQL注入并不像大家想象得那么简单,它需要攻击者本身对于数据库的结构有足够的了解才能成功,因而在构建数据库时尽量使用较为复杂的结构和命名方式...
Web 开发

81,094

社区成员

341,711

社区内容

发帖
与我相关
我的任务
社区描述
Java Web 开发
社区管理员
  • Web 开发社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章