如何在Spring数据JPA中优雅地处理sql注入

时间:2017-07-22 17:01:09

标签: spring spring-data spring-data-jpa

受影响:

  1. Spring Data JPA 1.10.2,1.9.4
  2. 其他不受支持的版本也会受到影响

    3. 弹簧:

    https://pivotal.io/security/cve-2016-6652

    http://cve.circl.lu/cve/CVE-2016-6652

    缓解措施

    受影响版本的用户应采用以下缓解措施:

    1. 建议用户在1.10.4版中升级到Spring Data JPA (Hopper SR4)或1.9.6(Gosling SR6)。这些版本包含 清理传递给数据访问层的Sort实例 只允许引用域中使用的域对象字段和别名 JPQL支持查询方法。

    2. 用户是否仍需要将复杂的排序表达式传递给数据 访问层,他们可以使用新引入的JpaSort.unsafe(...)来 重新解决旧的行为。

      3. 问题:

      我们正在使用最新版本的Spring数据但是安全评估工具在代码中显示了Sql注入漏洞,我们应该在Repo级别上开始使用OWASP ESAPI API吗?

0 个答案:

没有答案
相关问题
最新问题