JOOQ框架常见SQL注入场景

文章预览

JOOQ是一个ORM框架，利用其生成的Java代码和流畅的API，可以快速构建有类型约束的安全的SQL语句。本文主要介绍该框架常见的SQL注入场景。給代码安全审计提供一定的思路。 0x01 关于JOOQ JOOQ是一个ORM框架，利用其生成的Java代码和流畅的API，可以快速构建有类型约束的安全的SQL语句。其使用与mybatis和Hibernate ORM不同的思路来实现对象关系映射ORM 。 1.1 核心接口 通过这两个接口可以执行对应的SQL语句： org.jooq.impl.DSL是生成所有jOOQ对象的主要类。它作为一个静态的工厂去生成数据库表表达式，列表达式，条件表达式和其他查询部分。 org.jooq.DSLContex可以理解为一个SQL执行器，通过静态方法  DSL.using ，可以获取一个  DSLContext  实例，此实例抽象了所有对于SQL的操作API，可以通过其提供的API方便的进行SQL操作。 举例说明： public JooqPojo selectByName (String name) { ………………………………