EJB3 SQLインジェクション

Question

SQLインジェクションを防ぐためにEJB3の安全性を知りたいと思います。
私はプリペアドステートメントを使用することは非常に安全であることを読んだが、これ

@Override 
public Collection<Project> searchProjectsPerProfessorLastname(String lastname) { 
    Query q = manager.createQuery("SELECT DISTINCT OBJECT(p) FROM Project p JOIN p.professors prof WHERE lower(prof.lastName) = ?1"); 
    q.setParameter(1, lastname.toLowerCase()); 
    @SuppressWarnings("unchecked") 
    Collection<Project> c = q.getResultList(); 
    if(c.size()==0) 
     return null; 
    return c; 
} 

のような機能を持つインスタンスのためには、SQLインジェクションを行うことができますか？簡単に言えば

Answer 1

号

、限り、あなたは動的SQLを構築する（と結合SQLを構築していない）していないとして、SQLインジェクションの危険性はありません。バグのあるSQLドライバを除外します。

バインディングは、単純にSQLテキストを構築するのではなく、ドライバを介してSQL文にパラメータを割り当てる技術です。

さまざまなドライバがありますが、SQLインジェクションが行われる理由は、SQLインジェクションを防止するための適切な予防措置（特に特殊文字の引用符などのエスケープ）がないということです。

理想的には、ドライバーはSQLを適切に構築するために注意します。しかし、ドライバーが何らかの形でバギーになっている場合、まだいくつかのリスクがあります。私は、個人的に、これに影響を与えたバグを持っているドライバーに遭遇していません。それは可能ですが、本当に、本当に遠いです。

最後に、たとえばSQLを使用していなくても、JPAクエリ言語であるEQLを使用しています。これはEQLからSQLに変換される必要があります。これにより、SQLインジェクションを防止するための介入ソフトウェア（JPAとJDBCドライバ）の機会が増えます。

Answer 2

JPA呼び出しのすべてのパラメータ化されたクエリ形式は、SQLインジェクションに対して安全とみなされます。ただし、安全ではない連結でクエリ文字列を作成することはできます。