参数化 Java JPA ALTER SESSION SQL

Question

我在从 JPA EntityManager 创建的 SQL Query 语句中设置参数时遇到问题。 我在 EJB 中工作，并且会话的 EntityManager 对象有效。

import javax.persistence.EntityManager;
import javax.persistence.Query;

pubic void methodWorks(EntityManager em, String schema) {
    String sqlStmt = "ALTER SESSION SET CURRENT_SCHEMA = " + schema;
    try {
        em.createNativeQuery(sqlStmt).executeUpdate();
    } 
    catch(Exception ex) {
        ex.printStackTrace();
    }
}
pubic void methodFails1(EntityManager em, String schema) {
    String sqlStmt = "ALTER SESSION SET CURRENT_SCHEMA = ?";
    try {
        em.createNativeQuery(sqlStmt).setParameter(1, schema).executeUpdate();
    } 
    catch(Exception ex) {
        ex.printStackTrace();
    }
}
pubic void methodFails2(EntityManager em, String schema) {
    String sqlStmt = "ALTER SESSION SET CURRENT_SCHEMA = ?1";
    try {
        em.createNativeQuery(sqlStmt).setParameter(1, schema).executeUpdate();
    } 
    catch(Exception ex) {
        ex.printStackTrace();
    }
}
pubic void methodFails3(EntityManager em, String schema) {
    String sqlStmt = "ALTER SESSION SET CURRENT_SCHEMA = :inputSchema";
    try {
        em.createNativeQuery(sqlStmt).setParameter("inputSchema", schema).executeUpdate();
    } 
    catch(Exception ex) {
        ex.printStackTrace();
    }
}

问题在于 Fortify 扫描（必须通过）将 methodWorks 方法中的 sqlStmt 识别为易受 SQL 注入攻击（来自 Fortify）。失败的方法全部报告

Internal Exception java.sql.SQLSyntaxErrorException: ORA:-02421 mission or invalid schema authorization identifier.
Error Code 2421
Call: ALTER SESSION SET CURRENT_SCHEMA = ?
   bind => [1 parameter bound]

仅仅清理输入参数“不够好”以通过 Fortify 和 QA。 将其设置为参数（其中提示提示：很容易被愚弄）将通过 Fortify 扫描和 QA 要求。

Answer 1

此查询确实对 SQL 注入开放，因为您使用的是字符串连接。 处理此类查询的安全方法是使用参数。

String sqlStmt = "ALTER SESSION SET CURRENT_SCHEMA = ?";
Query updateQuery = em.createNativeQuery(sqlStmt);

updateQuery.setParameter(0, schema);
updateQuery.executeUpdate();

参数值会自动为您转义。这可以节省您的时间，因为您不再需要担心 SQL 注入。这在 Query/EntityManager 类中得到解决。 此外，它使查询更易于阅读。