Abstrakcja wiosenna JdbcTemplate zapewnia dużą funkcjonalność, ale czy można jej używać w sposób zapewniający ochronę przed atakami typu SQL injection?Czy Spring JDBC zapewnia ochronę przed atakami SQL Injection?
Na przykład, podobnie jak rodzaj ochrony, który można uzyskać za pomocą PreparedStatement z prawidłowo zdefiniowaną parametryzacją.
Fajne - najważniejsze jest to, że użycie sparametryzowanych metod w Spring API zdecydowanie odwzorowuje sparametryzowane metody w Java PreparedStatements w taki sposób, że ochrona jest zachowana. – Brabster
Powinny to zrobić; Wiosna polega na implementowaniu Best Practices w bardziej wygodny sposób, a użycie PreparedStatement było zalecane od ... no cóż, pamiętam, że doradzono mu w pierwszej wersji JDBC, którą spotkałem w Javie 1.1, mimo że jest raczej wybredny. (Nie wiem, czy wszystkie sterowniki JDBC dobrze to rozumieją, ale jeśli tego nie zrobię, uznałbym to za powód, dla którego go nie używam). –