Les modèles de prédicat sont-ils identiques aux instructions préparées?

Question

Par exemple, si j'avais cette chaîne de format de prédicat, cela aurait-il les mêmes avantages de sécurité que les instructions préparées dans l'offre SQL?

@"name == $LAST_NAME" 

Je ne sais pas si cela est une substitution stupide simple qui permet encore une mauvaise injection « SQL » aux données de base, ou si cela est tout aussi bon que les déclarations préparées connu des technologies db modernes?

Answer 1

Vous n'êtes pas en cours d'exécution sur un serveur et tout utilisateur aura un accès complet au fichier sqlite de toute façon, donc il n'y a pas de sécurité là pour subvertir.

De plus, il s'agit d'un prédicat et il ne s'agit pas d'une instruction SQL stockée. Lorsque votre application exécute le prédicat, Core Data fera la traduction en SQL, il ne stocke pas cette traduction.

En bref, rien à craindre ici.