问spring/hibernate如何保证不受SQL注入的影响，以及如何在内部处理它？

EN

如果正确使用API，Hibernate确实提供了来自SQL注入的安全性。

来自：注入

--关于SQL注入的一点注记 由于这是一个热门话题，我现在将讨论，但稍后将详细讨论。

• Hibernate不授予SQL注入豁免权，因此可以随意滥用API。
• HQL (SQL的Hibernates子集)没有什么特别之处使它或多或少容易受到影响。
• 诸如createQuery(String )和createSQLQuery(String )之类的函数创建一个查询对象，在调用commit()时将执行该查询对象。如果查询字符串已被污染，则将进行SQL注入。这些功能的细节将在后面讨论。

始终使用PreparedStatement来防止SQL，它是JDBC的一部分，Hibernate本身也使用这个看见。

例如：

String query1 = "select * from MyBean where id = "+ id;//Not secure
String query2 = "select * from MyBean where id = :id";//Secure

关于这个主题的一篇有用的文章：http://software-security.sans.org/developer-how-to/fix-sql-injection-in-java-hibernate