SonarQube: can be vulnerable to SQL/JPQL injection (with JPA)

Olá pessoal
Essa critica do sonarqube pode ser corrigida que qual forma?

public Integer proximaSequenciaProtocolo(String codigoAgencia) {
        String nomeSequence = "SELECT NEXT VALUE FOR T_COLETAS_COL_PROTOCOLO_" + codigoAgencia + "_SEQ";

        BigInteger sequencia = (BigInteger) entityManager.createNativeQuery(nomeSequence).getSingleResult();

        return sequencia.intValue();
    }

image983×407 21.2 KB

O problema ocorre por usar concatenação de strings para o comando sql!

Para resolver teria que abstrair sua implementação de modo que você use um mecanismo como o PreparedStatent para não realizar a concatenação, e sim parametrizar apenas valores.