SpringデータJPAはSQLインジェクションに対して安全です

Question

Spring Security JPAに関する情報や、.save()のようなメソッドがSQLインジェクションから保護されているかどうかを調べようとしています。

たとえば、データベースに保存したいオブジェクトCustomer.があります。 私はそのエンティティを操作するためにCustomerRepository Spring実装を使用しています。 お客様のコンストラクターがユーザーのパラメーターを使用しています。すべてがステージングされたら、私は.save()を呼び出しています。これはSQLインジェクションに対して安全ですか？最初にチェックを行うべきですか？

Answer 1

.save()ネイティブクエリの使用のみが脆弱です。

List results = entityManager.createNativeQuery("Select * from Customer where name = " + name).getResultList(); 

パラメータを使用すると、安全なネイティブクエリを作成することもできます。

Query sqlQuery = entityManager.createNativeQuery("Select * from Customer where name = ?", Customer.class); 
List results = sqlQuery.setParameter(1, "John Doe").getResultList();