1 前言
最近我们公司的找了一个专门做网络安全的公司,这个公司叫做启明星辰(不是做广告哈,从网上查的资料来看,在业界还是挺有名气的),对现有的所有项目进行一个渗透性测试,发现了很多存在不安全的问题,其中之一就是SQL注入问题。对于SQL注入问题,其实使用像MyBatis之类的框架还是很容易避免的。而我们其中恰恰 有一个老项目是使用的Hibernate,为了简便,通过获取SessionFactory,以SQL拼接的方式执行的。由于是老项目,这时候如果要将所有的之类写法都更正过来,工作量太大。虽然是内部访问项目,但是还得想办法解决才行。最考经考量,因为是内部项目,所以也就不花大力气全部整改了,只是编写一个过滤器,将一些SQL关键字进行过滤,发现有这类关键字,则不执行操作。 最近我们公司的找了一个专门做网络安全的公司,这个公司叫