我在Spring MVC项目中使用HTTP基本身份验证。 Spring的身份验证是否受SQL注入保护?
任何专家都能就此发表声明吗?或提供声明的链接。
答案 0 :(得分:2)
与Simeon达成一致,它与您应用于标准框架的任何基础自定义一样安全。
JdbcDaoImpl的标准框架实现使用PreparedStatement进行所有JDBC访问,即使您修改了查询,也应该防止SQL注入攻击。但是,如果你扩展它或编写自己的实现,所有的赌注都会被取消。
从体系结构的角度来看,您的问题并不完全准确 - 传递身份验证凭据的方法(在您的情况下是基本的)不直接影响实际到达数据库的内容。在凭证的接收和验证之间有一个很好的抽象层。我建议您查阅Spring Security文档,了解其原因。
答案 1 :(得分:1)
您如何检查用户凭据?
如果您使用UserDetailsService检查数据库的用户凭据,那么由于您正在构建查询,因此您有责任保护自己免受注入。