Spring boot: интерфейс репозитория sql защита от инъекций

Question

У меня есть интерфейс репозитория в моем приложении Spring Boot, как вы можете видеть ниже.

@Repository
public interface CounterRepository extends JpaRepository<Counter, String> {
    Counter findByMediaName(String mediaName);
}

Реализации этого интерфейса нет. Это просто Spring Boot magi c. Интересно, есть ли риск SQL Injection для параметра mediaName? Я использую Spring Boot 2.2.6.RELEASE

Answer 1

Это распространенное заблуждение. JPA и другие ORM избавляют нас от создания вручную закодированных операторов SQL, но они не помешают нам писать уязвимый код. введите здесь описание ссылки

Как исправить SQL Внедрение с использованием Java Persistence API (JPA)

SQL инъекция: когда подготовленного оператора недостаточно

Нигде в JSR-338 (JPA 2.1) не говорится о подготовке или кэшировании запросов или результатов, независимо от того, названы они или нет. Все зависит от поставщика, который обычно прилагает все усилия.

Параметры запроса в JPA

Answer 2

Нет, нет. Он создаст запрос API Criteria (правильно), который будет экранировать параметры. Это похоже на использование подготовленных операторов.