<div dir="ltr">Thanks Chris.  I meant the query injection.  Was really looking for an api that takes parametrized query in risk java client, do you know whether solr provides that?  It would not be a easy task to do a 100% secure santize function, the above query is really just a simple use case.<div><br></div><div>Jason</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 23, 2015 at 1:49 PM, Christopher Meiklejohn <span dir="ltr"><<a href="mailto:cmeiklejohn@basho.com" target="_blank">cmeiklejohn@basho.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5"><br>
> On Mar 22, 2015, at 7:03 PM, Jason W <<a href="mailto:jason.w.prog@gmail.com">jason.w.prog@gmail.com</a>> wrote:<br>
><br>
> Hello,<br>
><br>
> I try to use the riak search java client, specifically the Search.Builder class, like the following<br>
><br>
> Search search = new Search.Builder("test", "_yz_rb:accounts AND email:" + [user-email]).<br>
><br>
><br>
><br>
> "[user-email]" is what user entered in the login form, my question is about sql injection, it seems like the java search client api doesn't prevent sql injection, are there any other api/methods that I can use to prevent this?  Thank you<br>
<br>
</div></div>Hello Jason,<br>
<br>
Search is not SQL; queries are specified in the Solr [1] query syntax so they’re not vulnerable to a SQL injection attack, given the basis of a SQL injection attack is to end a query and start a new one using unvalidated syntax.  While it’s not directly the same thing, in the same class of attacks it’s possible for a user to add additional criteria to the query given the way you’ve written your search query.  I highly recommend you sanitize your inputs before passing them to the query builder.<br>
<br>
- Chris<br>
<br>
[1] <a href="https://wiki.apache.org/solr/SolrQuerySyntax" target="_blank">https://wiki.apache.org/solr/SolrQuerySyntax</a><br>
<span class="HOEnZb"><font color="#888888"><br>
Christopher Meiklejohn<br>
Senior Software Engineer<br>
Basho Technologies, Inc.<br>
<a href="mailto:cmeiklejohn@basho.com">cmeiklejohn@basho.com</a></font></span></blockquote></div><br></div>