Ebean框架常见SQL注入场景

文章预览

原文由作者授权，首发在奇安信攻防社区 https://forum.butian.net/share/1539 Ebean是一个 ORM框架 ，利用其可以快速构建有类型约束的安全的SQL语句。本文主要介绍该框架常见的SQL注入场景。給代码安全审计提供一定的思路。 0x01 关于Ebean Ebean ORM框架，可以说几乎支持所有的JPA的功能同时也兼顾了Mybatis的灵活性，并且还有一些较实用的增加功能。同时兼容多种数据库，可以很方便的实现对应的sql操作，在一定程度上对SQL注入也有一定的防护。 1.1 Ebean基本使用方法 1.1.1 实体类继承Model类，自带增删改方法 例如新增记录： Author author = new Author( null , "Lorin" , "Lorin" ); author.save(); 1.1.2 Ebean/EbeanServer /database 可以使用Ebean或 EbeanServer 来创建和执行查询。高版本已经弃用，会迁移到io.ebean.Database/io.bean.DB: 1.1.3 Q实体增强类 Ebean可以对对应的entity生成出”Q实体类“，比 ………………………………