Ein ORM (Object-Relational Mapping) ist ein Framework, das Datenbankeinträge automatisch auf Objekte im Programmcode abbildet. Statt SQL-Abfragen manuell zu schreiben, arbeitest Du mit Methoden und Objekten Deiner Programmiersprache. Bekannte ORMs sind Hibernate (Java), Entity Framework (.NET) und ActiveRecord (Ruby). Aus Sicherheitssicht reduzieren ORMs das Risiko von SQL-Injection, da sie Eingaben standardmäßig parametrisiert behandeln. Allerdings bieten ORMs keinen vollständigen Schutz, wenn Du Rohabfragen (Raw Queries) verwendest oder das ORM falsch konfigurierst. In Deinem Secure-Development-Leitfaden sollte die korrekte Nutzung des ORM dokumentiert sein.