Je hebt een klacht over de onderstaande posting:
Mijn ervaring met SQL is maar oppervlakkig en roestig, en met het Spring-framework heb ik nooit gewerkt, maar ik heb uit nieuwsgierigheid even in de API-documentatie daarvan geneusd, en daar viel me iets op dat mogelijk relevant is. De docstring van de update()-method bevat: "... (leaving it to the PreparedStatement to guess the corresponding SQL type); ...". Het woordje guess zette mij op scherp, en PreparedStatement wees meteen de weg naar een manier van aansturen die het niet aan het toeval overlaat, want als je daar kijkt zie je dat die per SQL-type methods heeft om parameters in te stellen. Je gebruikt dus een method waarbij onduidelijk kan zijn hoe de invoer geïnterpreteerd zal gaan worden en die laat je los op invoer waarvan je niet onder controle hebt wat die kan bevatten. Dat klinkt als iets dat potentiëel te misbruiken is. Zelfs als dat goed is dichtgetimmerd in het Spring-framework (ik weet niet of dat zo is), dan nog zou ik als op veiligheidslekken bedachte programmeur altijd kiezen voor een ...
Beschrijf je klacht (Optioneel):