0454-Hibernate对注入的简单测试

# Hibernate对注入的简单测试

0x00 背景
——-

* * *

前段时间遇到一个使用了Hibernate框架的站，以前没怎么接触过（由于是Java盲，所以大家勿喷），再注入的事情发生了许多奇奇怪怪的事情，于是向本地搭一个看看是个神马情况。Hibernate配备了一种非常强大的查询语言，这种语言看上去很像SQL。但是不要被语法结构上的相似所迷惑，HQL是非常有意识的被设计为完全面向对象的查询。

0x01 测试
——-

* * *

本次测试的环境是JDK5.0+Tomcat8+Hibernate3.0+Servlet。数据库情况如下：


通过百度知道Hibernate的查询大概有5、6种，通过分析对注入能产生不同影响的应该有如下三种：

“`
1、HQL方式
2、原生SQL方式
3、Criteria方式

“`

重点是HQL方式，HQL相当于Hibernate自己有一套SQL语法，在用Hibernate作为查询中间层的时候，它会将你写的HQL翻译成对应数据库的SQL语句，Hibernate支持N种数据库。

会一丢丢Java的童鞋都知道Hibernate的使用流程：

首先要告诉Hibernate数据库的连接信息，hibernate.cfg.xml文件：

“`




org.hibernate.dialect.Oracle9Dialect jdbc:oracle:thin:@192.168.79.151:1521:orcl system xxoo oracle.jdbc.driver.OracleDriver oracle_connet //这里是包含表的映射文件

“`

其实是映射你想使用的数据表（系统会按照表明自动生成文件，比如我的Userlist表会生成Userlist.hbm.xml），Userlist.hbm.xml文件：

分别将ID、USERNAME、USERPWD列映射为id、username、userpwd，而在实际环境中，开发者可能映射成他们喜欢的名字。

注：

“`
1、未映射的表是不能查询的；
2、使用映射后表名、列名时大小写敏感；
3、不能使用数据库中的列名，比如USERNAME映射为username之后，不能再使用USERNAME，否则报错。

“`

“`

“`

### 1、原生的HQL方式：大概代码：

“`
try{
s=HibernateSessionFactory.getSession();
tx=s.beginTransaction();
Query query=s.createQuery(“from Userlist as u where username='” +userName + “‘”);
Qstring=query.getQueryString(); //
Iterator it = query.iterate();
//这是Iterate数据返回方式
List it=query.list();//这是List数据返回方式 //
ul = (Userlist) it.next();
ul=(Userlist)it.get(0);
mUserPwd=ul.getUserpwd();
}catch (Exception e) {
System.out.println(e.getMessage());
return e.getMessage();
}//这里加了返回抛出的异常的代码
tx.commit(); //关闭连接
HibernateSessionFactory.closeSession();

“`

上面提到的Iterate和List数据返回方式没发现对注入产生多大的影响，他们呢的具体差别请google。

使用单引号测试（有返回异常的代码，数据库报错）：


使用单引号测试（没有返回异常的代码，默认情况，Tomcat报错）：


“`
And ‘a’=’a

“`


“`
And ‘a’=’b

“`


跨库查系统表？想都不要想：


*号也是不能用滴：


不支持union：


单独内嵌select作为条件（正常执行）：


单独执行substr()，ASCII()函数没问题：


但是执行

“`
ASCII(SUBSTR((select userpwd from Userlist where ROWNUM=1)，1,1))>0

“`

就不行了：


结论：这里能爆的列还得看前面那个select的心情。

小刺猬和它的小伙伴们都惊呆了：


对于第二种使用原生SQL的方式，写法大概是这样：

“`
s=HibernateSessionFactory.getSession();
tx=s.beginTransaction();
Query query=s.createSQLQuery(“select USERPWD from Userlist where USERNAME='” +userName + “‘”);
Qstring=query.getQueryString();
List it = query.list();
mUserPwd=(String)it.get(0);

“`

就不多说了，就可普通注入一样。毫无压力：


说说第三种，写法大概是这样：

“`
s=HibernateSessionFactory.getSession();
List UserLists=s.createCriteria(Userlist.class).add(Restrictions.eq(“username”,userNameString)).list();
Userlist u=(Userlist)UserLists.get(0);
mUserPwd=u.getUserpwd();

“`

如果说我们在HQL下还能用

“`
ascii(substr(userpwd,1,1))>1

“`

来猜解前面SELECT中选择的列中有的列的内容的话，那么在第三种Criteria方式下，基本就绝望了：





本来要结束的时候，我发现了第四种，是HQL的另一种写法，大概代码这么写：

“`
s=HibernateSessionFactory.getSession();
tx=s.beginTransaction();
Query query=s.createSQLQuery(“select {p.*} from Userlist {p} where {p}.USERNAME=”+userNameString).addEntity(“p”, Userlist.class);
Qstring=query.getQueryString();
List it = query.list();
mUserPwd=(String)it.get(0);

“`

貌似这样的也没得玩，歇菜了：



0x02 总结
——-

* * *

最后：时间有限，只做了字符型的简单粗浅表面测试，抛个砖，希望有更多经验的留言啊，毕竟这方面的资料网上真心极少，为了方便大众，请大牛们现身说法。