Tutti conoscono i famosissimi attacchi SQL-injection che tanto fanno dannare gli amministratori e gli esperti di sicurezza. Java enterprise edition ha introdotto un linguaggio a query specifico per gli Enterprise Java Bean molto simile ad SQL.
1)Usando EJB-QL si è immune al 100% agli attacchi di injection?
2)Ci sono pratiche di programmazione che immunizzano al 100% da questi attacchi?
3)Oppure siamo punto e da capo?
Il discorso e' un po' articolato: l'SQL injection di solito sfrutta il fatto che il programmatore crea le query native per il db concatenando dei valori prelevati dalle form html o comunque passati dai client. Molto banalmente nel caso di Java è sufficiente usare i PreparedStatement per tutelarsi al 100%.
EJB-QL astrae il database dando al programmatore la possibilità di interrogare oggetti, motivo per cui, di fatto, l'injection diventa praticamente impossibile.
Supponiamo pure che i prepared statement garantiscano al 100% la sicurezza.
Nella realtà, però, quando si usa EJB-QL ovvero JPQL, poi queste tecnologie si appoggiano tipicamente ad Hibernate che si appoggia a RDBMS come ad esempio MySQL. Alla fine della catena si eseguirà sempre una query nativa del DBMS. Come si fa a sapere come Hibernate lavora e se usa i prepared statement o magari le stored procedure, in un server tipico come JBoss?
Può capitare che all'ultimo passaggio (o nei passaggi intermedi) si possa sfruttare comunque una falla?
Permessi di invio
Rispondi quotando