W jaki sposób można się zabezpieczyć przed SQL injection używając repository z Spring Data?
Czytałem że poprawne używanie hibernate samo nas w sobie broni, ale co jeśli pod spodem nie ma jakiegoś hibernate, tylko np mongodb?
W jaki sposób można się zabezpieczyć przed SQL injection używając repository z Spring Data?
Czytałem że poprawne używanie hibernate samo nas w sobie broni, ale co jeśli pod spodem nie ma jakiegoś hibernate, tylko np mongodb?
Zacznijmy od podstaw - MongoDB nie jest SQLową bazą danych więc SQL Injection nie ma sensu.
Tak czy inaczej - jeśli używasz parametrized query zamiast kleić Stringi to jest OK.
Nieźle. Teraz nikt nie rozumie granic między JDBC, Hibernate i Spring Data.
W Spring Data ciężko zrobić injection, skoro tam się pisze w metodach typu findByCategoryInAndAgeGreaterThan() i dane podaje się w docelowych typach, a nie jako fragmenty SQL. Wszystkie moduły spring data bindują parametry prawidłowo, gdy przekazują je do warstwy niżej.