Будет ли EntityManager.find (id) выполнять злонамеренную атаку?

Question

Мои службы отдыха принимают параметр "ids" из пользовательского интерфейса. Мой контроллер как показано ниже

@RestOutMessage
deleteEntry(List<String> ids) {
    .......
}

Я запустил Checkmarx в своем приложении, оно выделило «идентификаторы» и сообщило, что оно уязвимо для XSS и других атак с использованием HTML-инъекций.

Внутренне мой код использовал entityManager.delete(id). Я не уверен, что это безопасно или как я могу объяснить, что это безопасно.

Answer 1

Я не знаком с checkmarx, но суть вашего вопроса. Я действительно не понимаю, как эта строка кода может быть связана с XSS или HTML-инъекцией. Вероятно, вам следует беспокоиться только об SQL-инъекции, и в этом отношении вы в безопасности - Hibernate использует PreparedStatement внизу.