Spring (MVC) Evita l'iniezione di SQL?

Question

Mi chiedo come Spring MVC gestisce iniezioni SQL (e altre questioni di sicurezza: XSS, codice [javascript] iniezione, ecc). Sto parlando principalmente di sfuggire i valori che vengono aggiunti a DB e così via. Non riesco a trovare alcuna risposta perché ogni volta che cerco i risultati di iniezione di primavera sql che comportano l'iniezione di dipendenza sorgono.

Il mio flusso è il seguente: dal browser del client faccio una richiesta composta da un JSON con alcuni parametri di query (non l'istruzione SQL, che sarebbe troppo stupida - per formare la query SQL in JS). Quando la richiesta raggiunge il metodo correttamente annotato nel controller, la richiesta viene mappata tramite @RequestBody con Jackson a un "oggetto di richiesta". Ora, questo oggetto viene inviato al DAO, in cui utilizzando JDBC Template interrogo il db (e usando RowMapper traccio i risultati).

Nel DAO ho qualcosa di simile:

public int countAll(RequestObject request) { 
    String sql = "SELECT count(*) FROM employees WHERE name = '" + request.getName() + "'"; 

    JdbcTemplate jdbcTemplate = new JdbcTemplate(dataSource); 
    int count = jdbcTemplate.queryForInt(sql); 

    return count; 
} 

Ora è al sicuro da SQL injection questo approccio? non sono JDBCTemplate -based query date È più sicuro che fluisce attraverso Spring MVC?

Possiamo avere un po 'di discussione su questo?

Answer 1

Ogni volta che si crea una query da concatenazione siete vunerlable ad attacchi di iniezione

passare i parametri in modo corretto:

jdbcTemplate.queryForInt(sql, args, argTypes) 

ad esempio:

 JdbcTemplate insert = new JdbcTemplate(dataSource); 
    insert.update("INSERT INTO PERSON (FIRSTNAME, LASTNAME) VALUES(?,?)", 
      new Object[] { firstName, lastName });