[Seasar-user:7285] Re: [DBFlute]SQL インジェクションについて

[kubo]

久保です。

米原さん、こんばんわ

> S2DAOにおいては、SQLコメント/*変数名*/を使用することで、
> 自動的にPreparedStatementが使われているとのことですが、
> DBFluteを使用した場合も、同様に自動的にPreparedStatement
> が使われていると考えてもよろしいのでしょうか。

大丈夫です。

ConditionBean内部にて生成するWhere句は、

  BOOK_ID = /*cb.conditionQuery.bookId.prefixSearch*/

というように、S2DaoのSQLコメントを利用しています。
(値はConditionQueryから辿ったところに保持しておく)


「ConditionBeanはS2Dao用のSQL文を生成してS2Daoに渡している」
というイメージでおおよそ間違いありません。