问题描述
安全团队对我们的应用程序进行了测试,并提供了以下反馈:“任意提供的URL参数的名称”。
我只是想问一问Keycloak应用程序对sql注入是否安全?如果是,那怎么办?
解决方法
没关系,我自己得到了答案。 由于Keycloak合并了EntityManager,并且使用仅更改参数的参数化/命名查询,因此查询的结构是稳定的,因此可以肯定地说在这里也无法进行SQL注入。
参考:https://software-security.sans.org/developer-how-to/fix-sql-injection-in-java-persistence-api-jpa