Prevención contra inyección de SQL en Hibernate

Question

He utilizado hibernate para interactuar con mi base de datos, ahora quería proteger mi capa de base de datos contra la inyección de SQL, así que investigué y descubrí que mis consultas debían parametrizarse, por lo que significa si acabo estructuro mis consultas HQL como:

List mothers = session.createQuery(
"select mother from Cat as cat join cat.mother as mother where cat.name = ?") 
.setString(0, name) 
.list(); 

Entonces es parametrizado y protegido de la inyección de SQL, o hay algo más, que tengo que hacer ...

otra cosa fue mencionado - "Escapar siempre de sus datos "¿Cómo se puede lograr eso?

Answer 1

No sé setString() pero si es lo mismo que setParameter() entonces sí, es suficiente para evitar que se inyecte sql.

actualización

Por escapando de datos, significa que usted tiene que asegurarse de que no está almacenando valores peligrosos en la base de datos.

Un ejemplo rápido es, por ejemplo, si se pasa en el argumento

String name = "<script>alert('Hello');</script>"; 
//insert this name into Mother, and then when you load it from the database, it will be displayed  

List mothers = session.createQuery(
"select mother from Cat as cat join cat.mother as mother where cat.name = ?") 
.setString(0, name) 
.list(); 

a la consulta, entonces la próxima vez que cargue esto desde la base de datos, y hacerlo en su navegador web, se ejecutará la secuencia de comandos .
Debe asegurarse de que su marco escapa a todos los caracteres ilegales, es decir: cambiando < a < antes de insertarlo en la base de datos.
Si su marco no hace esto, tiene que hacerlo manualmente. Hay toneladas de bibliotecas por ahí que escapan correctamente el código para usted. Eche un vistazo a this question por ejemplo y las respuestas allí.