本篇介紹了以下代碼安全問題
1、SQL注入:JDO
2、有風險的SQL查詢:iBatis
3、XML注入
4、XPath注入
5、XMLDecoder注入
6、SQL注入:Hibernate
7、動態解析代碼
8、Android查詢字符串注入
9、資源注入
10、SQL注入:Persistence
1、SQL注入:JDO
詳細信息
SQL注入是一種數據庫攻擊手段。攻擊者通過嚮應用程序提交惡意代碼來改變原SQL語句的含義,進而執行任意SQL命令,達到入侵數據庫乃至操作系統的目的。使用JDO(Java數據對象)執行一個通過用戶輸入構建的動態SQL或JDOQL指令,會讓攻擊者有機會篡改指令的含義或者執行任意的SQL命令。
例如:下面代碼片段中,動態構造並執行了一個SQL查詢來認證用戶。
public void doPrivilegedAction(String username, char[] password) throws SQLException