Disclaimer: ik ben ook geen dagelijkse Java/Spring programmeur. Het voornaamste probleem van injecties lijk je inderdaad te voorkomen door parameterized queries te gebruiken. Blijft ook vreemd dat het bedrijf waar je gesolliciteerd wel zegt dat het onveilig is, maar vervolgens zelf niet uitlegt waarom. Je mag wel verwachten dat als je op basis hier van niet door de selectie komt, je wel te horen krijgt wát er dan mis mee is. Dan kan je er ieder geval nog wat van leren voor een volgende keer. Wat ik nog zou kunnen bedenken: Parameter validatie: een NULL check op de strings en een range check op de gegevens ID's. Al zal in het geval van een probleem je waarschijnlijk een exceptie krijgen, wat mij brengt op het tweede punt Exception handling: de update() en queryForObject() kunnen een DataAccessException terug geven. Er mist nu code om daar iets mee te doen, wat ze verwacht hadden dat je hier aan zou denken Wat betreft het sanitizen van input, zoals Erik noemt, kan je beargumenteren dat het beter is om dat ...