Maison > Article > base de données > Comment transmettre en toute sécurité des paramètres à une instruction préparée JDBC en Java ?
Comment transmettre en toute sécurité des paramètres à une instruction préparée JDBC en Java ?
- Linda Hamiltonoriginal
- 2024-11-24 13:40:12549parcourir
Passer des paramètres à un PreparedStatement JDBC
Vous essayez de créer une classe de validation pour votre programme Java en vous connectant à une base de données MySQL et en récupérant des lignes spécifiques basées sur un paramètre constructeur. Cependant, votre code ne fonctionne pas comme prévu.
Pour résoudre ce problème, vous devez modifier votre code pour utiliser la méthode setString() pour définir le paramètre userID. Cela garantit non seulement que l'instruction est correctement formatée, mais empêche également l'injection SQL, ce qui est important pour la sécurité de la base de données.
Voici l'extrait de code mis à jour :
import java.sql.*;
import java.sql.PreparedStatement;
import java.sql.Connection;
public class Validation {
private PreparedStatement statement;
private Connection con;
private String x, y;
public Validation(String userID) {
try {
Class.forName("com.mysql.jdbc.Driver");
con = DriverManager.getConnection(
"jdbc:mysql://localhost:3306/test", "root", "");
statement = con.prepareStatement(
"SELECT * from employee WHERE userID = ?");
statement.setString(1, userID);
ResultSet rs = statement.executeQuery();
while (rs.next()) {
x = rs.getString(1);
System.out.print(x);
System.out.print(" ");
y = rs.getString(2);
System.out.println(y);
}
} catch (Exception ex) {
System.out.println(ex);
}
}
}
En incorporant ces modifications, vous Vous serez en mesure de transmettre efficacement les paramètres à votre JDBC PreparedStatement, atténuant ainsi les risques d'injection SQL et garantissant la récupération correcte des données de votre base de données.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!