遇到个问题:
DAOpublic List<?> find(String hql) {
return factory.getCurrentSession().createQuery(hql).list();
}BIZpublic Login getUserByEmail(String name) {
List<?> list = commonDao.find("from Login l where l.name='" + name+ "'");
if (list != null && list.size() > 0)
return (Login) list.get(0);
return null;
}朋友意见:String hql = "select l from Login l where l.name= :name";像我这种情况怎么改?参数怎么加?多谢了!
DAOpublic List<?> find(String hql) {
return factory.getCurrentSession().createQuery(hql).list();
}BIZpublic Login getUserByEmail(String name) {
List<?> list = commonDao.find("from Login l where l.name='" + name+ "'");
if (list != null && list.size() > 0)
return (Login) list.get(0);
return null;
}朋友意见:String hql = "select l from Login l where l.name= :name";像我这种情况怎么改?参数怎么加?多谢了!
解决方案 »
- spring+ibatis+oracel事务不回滚
- Java 按照成绩给考试人员名次 排序
- iReport的仪表盘刻度
- 救命啊,求 iReport +JasperReport安装包, 我下了一下午没下下来
- 寻求Web service知识,工作原理及如何开发
- 请教javax.servlet.jsp.JspException: Input/output error: java.io.IOException: Broken pipe的是什么原因导致的
- 这句HQL是什么意识
- insert into select 插入不进去数据怎么回事?急!!!
- AJX框架下的远程调用问题???/
- 请问J2EE的开发平台有那些?那些好用?
- JSP中的ID问题
- 问个struts2验证出错返回保存原始填写数据问题
List<?> list = commonDao.find("from Login l where l.name='" + name+ "'");
if (list != null && list.size() > 0)
return (Login) list.get(0);
return null;
}
我直接传入一个name进去,像我这些不会被sql注入吗?
发现SQL注入位置;
判断服务器类型和后台数据库类型;
确定可执行情况
对于有些攻击者而言,一般会采取sql注入法。下面我也谈一下自己关于sql注入法的感悟。
注入法:
从理论上说,认证网页中会有型如:
select * from admin where username=’XXX’ and password=’YYY’ 的语句,若在正式运行此句之前,如果没有进行必要的字符过滤,则很容易实施SQL注入。
如在用户名文本框内输入:abc’ or 1=1-- 在密码框内输入:123 则SQL语句变成:
select * from admin where username=’abc’ or 1=1 and password=’123’ 不管用户输入任何用户名与密码,此语句永远都能正确执行,用户轻易骗过系统,获取合法身份。
猜解法:
基本思路是:猜解所有数据库名称,猜出库中的每张表名,分析可能是存放用户名与密码的表名,猜出表中的每个字段名,猜出表中的每跫锹寄谌荨?BR> 还有一种方式可以获得你的数据库名和每张表的名。
就是通过在形如:http://www. .cn/news?id=10’的方式来通过报错获得你的数据库名和表名!
对于jsp而言我们一般采取一下策略来应对:
1、PreparedStatement
如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.
以下是几点原因
1、代码的可读性和可维护性.
2、PreparedStatement尽最大可能提高性能.
3、最重要的一点是极大地提高了安全性.
我用的是这种方法。。
buf.append("SELECT u FROM User u WHERE ");
if(uname != null && !"".equals(uname)){
buff.append(" u.uname like '" + uname + "'");
}
.......
.......
.......}这样的情况该怎么防止SQL注入呢?
createQuery()此方法只需要传一个HQL语句进去,如果这样写select l from Login l where l.name= :name 怎么样再给name 赋值呢??还请各位高手赐教.....
String hql="from user u where u.name = ?";
getCurrentSession().createQuery(hql).setParameter(0,"name").list();
也就是占位符。
另一种解决方案就是使用hibernate