Scala Anorm String Ersetzung Sanitize Eingänge?

Question

Ich benutze das Spiel! Framework zusammen mit Anorm für den Zugriff auf die Datenbank. Ich sehe oft Beispiele wie die folgenden, wo Objekt Mitglieder direkt in die SQL-Anweisung injiziert werden.

Meine Frage ist, sind diese Eingaben bereinigt? Die meisten Beispiele wie folgt aussehen:

object Person { 
    def save(p:Person) { 
     DB.withConnection ("default") { implicit connection => 
      SQL(""" 
       INSERT INTO person(firstName,lastName) 
       values ({firstName}, {lastName}) 
       """ 
       ).on(
       "firstName" -> p.firstName, 
       "lastName" -> p.lastName 
      ).executeUpdate() 
     } 
    } 
} 

Ich werde versuchen, durch, um herauszufinden, Hacking, aber es ist leicht, einen Fehler zu machen, so war ich dachte, fragen mehr angemessen, und ich kann auf die Weisheit der Masse ziehen .

Answer 1

Nach its source code baut Anorm nur java.sql.PreparedStatements, die solche SQL-Injektion verhindern. (Siehe PreparedStatement wikipedia Seite für eine allgemeine Erklärung)