¿Son posibles los ataques de inyección SQL en JPA?

Estoy construyendo una aplicación web Java usando Java EE 6 y JSF-2.0, usando la API de persistencia para todas las operaciones de la base de datos.¿Son posibles los ataques de inyección SQL en JPA?

El back-end es MySQL, pero he utilizado las funciones EntityManager y las consultas con nombre en EJB-QL para todas las operaciones. ¿Son posibles los ataques de inyección SQL en este caso?

Fuente

2010-08-09 Akshay

Es sólo es posible si está inlining las variables controladas por el usuario en una cadena SQL/JPQL así:

String sql = "SELECT u FROM User u WHERE id=" + id;

Si usted no está haciendo eso y está utilizando consultas con parámetros/designado, entonces esta a salvo

Fuente

2010-08-09 14:54:34 BalusC

Si se usa 'em.persist (usuario);' donde 'usuario' se completa con, err, usuario? –

¿La respuesta a eso sería? ... – user435421

Sí, es posible. Depende de la forma en que implemente.
Echa un vistazo a Preventing injection in JPA query language.

Fuente

2010-08-09 14:50:47

+1 Enlace muy interesante. Gracias. – Akshay

Yo recomendaría echarle un vistazo al artículo de SANS también, tiene más muestras/presentaciones: http://software-security.sans.org/developer-how-to/fix-sql-injection-in-java-persistence- api-jpa – eckes

Si su proveedor de JPA procesa todos los argumentos de entrada para manejar los ataques de inyección, entonces debe estar cubierto. Hacemos delgados en EclipseLink.

Como el cartel anterior mencionó el ensamblado de su propia JPQL o SQL (para consultas nativas) podría exponerlo.

Recomendaría utilizar consultas con nombre con parámetros sobre concatenar cadenas para compilar JPQL/SQL.

Doug

Fuente

2010-08-09 15:26:59

¿Son posibles los ataques de inyección SQL en JPA?

Respuesta

Cuestiones relacionadas