SQL -инъекция с SEMGREP/SPOTBUGS ⇐ JAVA

[Anonymous]

Для проверки SAST в нашем трубопроводе CI мы используем сканеры Semgrep и Spotbugs. Этот сканер находит следующую ситуацию в качестве экземпляра инъекции SQL. < /P>
класс репозитория < /p>
Query q = em.createNativeQuery(FIND_PRODUCTS_BY_IDENTIFER);
q.setParameter("productidentifier", productIdentifierParam);
< /code>
find_products_by_identifer находится в отдельном классе и определяется как постоянная < /p>
public static final String find_products_by_identifer = "Select ProductId из продукта, где ID в (: ProductIdation)"; < /p>


Подробнее здесь: https://stackoverflow.com/questions/734 ... p-spotbugs