Maison > base de données > tutoriel mysql > Comment transmettre en toute sécurité des paramètres à une instruction préparée JDBC en Java ?

Comment transmettre en toute sécurité des paramètres à une instruction préparée JDBC en Java ?

Linda Hamilton
Libérer: 2024-11-24 13:40:12
original
626 Les gens l'ont consulté

How to Safely Pass Parameters to a JDBC PreparedStatement in Java?

Passer des paramètres à un PreparedStatement JDBC

Vous essayez de créer une classe de validation pour votre programme Java en vous connectant à une base de données MySQL et en récupérant des lignes spécifiques basées sur un paramètre constructeur. Cependant, votre code ne fonctionne pas comme prévu.

Pour résoudre ce problème, vous devez modifier votre code pour utiliser la méthode setString() pour définir le paramètre userID. Cela garantit non seulement que l'instruction est correctement formatée, mais empêche également l'injection SQL, ce qui est important pour la sécurité de la base de données.

Voici l'extrait de code mis à jour :

import java.sql.*;
import java.sql.PreparedStatement;
import java.sql.Connection;

public class Validation {

    private PreparedStatement statement;
    private Connection con;
    private String x, y;

    public Validation(String userID) {
        try {
            Class.forName("com.mysql.jdbc.Driver");
            con = DriverManager.getConnection(
                    "jdbc:mysql://localhost:3306/test", "root", "");
            statement = con.prepareStatement(
                    "SELECT * from employee WHERE  userID = ?");
            statement.setString(1, userID);
            ResultSet rs = statement.executeQuery();
            while (rs.next()) {
                x = rs.getString(1);
                System.out.print(x);
                System.out.print(" ");
                y = rs.getString(2);
                System.out.println(y);
            }
        } catch (Exception ex) {
            System.out.println(ex);
        }
    }
}
Copier après la connexion

En incorporant ces modifications, vous Vous serez en mesure de transmettre efficacement les paramètres à votre JDBC PreparedStatement, atténuant ainsi les risques d'injection SQL et garantissant la récupération correcte des données de votre base de données.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

source:php.cn
Déclaration de ce site Web
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Derniers articles par auteur
Tutoriels populaires
Plus>
Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal