¿Scala Anorm String Replacement Sanitize Inputs?

Question

¡Estoy usando Play! marco junto con Anorm para acceder a la base de datos. A menudo veo ejemplos como los siguientes donde los miembros del objeto se inyectan en la declaración SQL directamente.

Mi pregunta es, ¿estas entradas están desinfectadas? La mayoría de los ejemplos se ven como los siguientes:

object Person { 
    def save(p:Person) { 
     DB.withConnection ("default") { implicit connection => 
      SQL(""" 
       INSERT INTO person(firstName,lastName) 
       values ({firstName}, {lastName}) 
       """ 
       ).on(
       "firstName" -> p.firstName, 
       "lastName" -> p.lastName 
      ).executeUpdate() 
     } 
    } 
} 

voy a tratar de averiguar a través de la piratería, pero es fácil cometer un error así que pensé pidiendo era más apropiado, y puedo aprovechar la sabiduría de la multitud .

Answer 1

De acuerdo con its source code, Anorm construye solo java.sql.PreparedStatements, que previene dicha inyección de SQL. (Véase la página PreparedStatement wikipedia para una explicación general)