Scala Anorm Stringの置換はサニタイズ入力ですか？

Question

私はPlay！を使用しています。フレームワークをAnormと一緒に使用してデータベースにアクセスします。オブジェクトのメンバがSQL文に直接挿入されている次のような例がよくあります。

私の質問は、これらの入力は消毒されていますか？ほとんどの例としては、以下のようになります。

object Person { 
    def save(p:Person) { 
     DB.withConnection ("default") { implicit connection => 
      SQL(""" 
       INSERT INTO person(firstName,lastName) 
       values ({firstName}, {lastName}) 
       """ 
       ).on(
       "firstName" -> p.firstName, 
       "lastName" -> p.lastName 
      ).executeUpdate() 
     } 
    } 
} 

私はハッキングの方法により知るしようとしますが、間違いを作るのは簡単ですので、私は尋ねるがより適切だと思った、と私は群衆の知恵に描くことができます。

Answer 1

its source codeによれば、AnormはこのようなSQLインジェクションを防ぐためにjava.sql.PreparedStatementsのみを構築します。