java - FindBugs 未检测到 SQL 注入

问题描述

我遇到过 FindBugs 没有在我的项目中检测到 SQL 注入的情况。项目是使用 Gradle 构建的，并使用了 FindBugs 插件。我正在使用休眠连接到数据库。下面是包含 SQL 注入的部分，

public List<String> fetchApplicationRequests(String applicationId,
        String fromDate, String toDate) throws ParseException {
    String sb = "SELECT * FROM table where applicationid = " + applicationId;
    Query query = getCurrentSession().createQuery(sb);
    query.setParameter("appId", applicationId);
    return (List<String>) query.list();
}

很明显，上面的部分显示了一个 SQL 注入。当我使用 Veracode 运行同一个项目时，它显示了我提到的部分的 SQL 注入。下面是我的build.gradle.

apply plugin: "findbugs"

findbugs {
  toolVersion = '3.0.1'
  effort = "max"
  ignoreFailures = true
  findbugsTest.enabled = false
}
tasks.withType(FindBugs) {
  reports {
      xml.enabled = false
      html.enabled = true
 }
}

当我运行命令时：

> ./gradlew clean build

它显示了在我的项目中发现的错误列表build/reports/findbugs/main.html

下面是 FindBugs 检测到的错误列表，

• 不良做法警告 - 6
• 正确性警告 - 17
• 国际化警告 - 31
• 恶意代码漏洞警告 - 52
• 性能警告 - 15
• 狡猾的代码警告 - 46

我希望 SQL 注入属于未检测到的安全类别，

错误描述：FindBugs

如何解决这个问题，或者有什么其他方法可以在我的项目中检测到 SQL 注入？

标签： javahibernategradlefindbugs