Я использую Play! framework вместе с Anorm для доступа к базе данных. Я часто вижу примеры, подобные следующему, где члены объекта вводятся непосредственно в оператор SQL.
Мой вопрос: эти входы продезинфицированы? Большинство примеров выглядят следующим образом:
object Person {
def save(p:Person) {
DB.withConnection ("default") { implicit connection =>
SQL("""
INSERT INTO person(firstName,lastName)
values ({firstName}, {lastName})
"""
).on(
"firstName" -> p.firstName,
"lastName" -> p.lastName
).executeUpdate()
}
}
}
Я попытаюсь выяснить это путем взлома, но ошибиться легко, поэтому я подумал, что спросить было бы более уместно, и я могу воспользоваться мудростью толпы.
