Liệu Scala Anorm String Replacement Sanitize Inputs?

Question

Tôi đang sử dụng Play! cùng với Anorm để truy cập cơ sở dữ liệu. Tôi thường thấy các ví dụ như sau đây, nơi các thành viên đối tượng được tiêm trực tiếp vào câu lệnh SQL.

Câu hỏi của tôi là, các đầu vào này có được vệ sinh không? Hầu hết các ví dụ trông giống như sau:

object Person { 
    def save(p:Person) { 
     DB.withConnection ("default") { implicit connection => 
      SQL(""" 
       INSERT INTO person(firstName,lastName) 
       values ({firstName}, {lastName}) 
       """ 
       ).on(
       "firstName" -> p.firstName, 
       "lastName" -> p.lastName 
      ).executeUpdate() 
     } 
    } 
} 

tôi sẽ cố gắng tìm hiểu bằng cách hack, nhưng nó rất dễ dàng để thực hiện một sai lầm vì vậy tôi nghĩ hỏi là thích hợp hơn, và tôi có thể vẽ trên sự khôn ngoan của đám đông .

Answer 1

Theo its source code, Anorm chỉ xây dựng java.sql.PreparedStatements, ngăn chặn việc tiêm SQL như vậy. (xem trang PreparedStatement wikipedia để được giải thích chung)