LoslegenKostenlos loslegen

Prepared Statements

Nachdem eine SQL-Injection-Sicherheitslücke entdeckt wurde, musst du bei CityBook Libraries die Buchsuche absichern. Wechsle von einfachen Statement-Objekten zu PreparedStatement, um Injection-Angriffe zu verhindern.

Die Klasse HikariSetup ist bereits konfiguriert.

Diese Übung ist Teil des Kurses

Abfragen einer PostgreSQL-Datenbank in Java

Kurs anzeigen

Anleitung zur Übung

  • Verwende einen Platzhalter für den title-Parameter.
  • Erstelle aus der Verbindung ein PreparedStatement.
  • Setze den Parameter title für das Prepared Statement.

Interaktive Übung

Vervollständige den Beispielcode, um diese Übung erfolgreich abzuschließen.

public class Main {
    public static void main(String[] args) throws SQLException {
        HikariDataSource ds = HikariSetup.createDataSource();
        // Set the parameter in the query
        String query = "SELECT * FROM books WHERE title = ____";
        // Create the prepared statement
        try (Connection conn = ds.getConnection();
            PreparedStatement pstmt = ____.____(query)) {
            // Set the title parameter
            pstmt.____(____, "Clean Code");
            try (ResultSet rs = pstmt.executeQuery()) {
                while (rs.next()) {
                    System.out.printf("ID: %d, Title: %s (%d)%n", rs.getInt("book_id"), rs.getString("title"), rs.getInt("publication_year"));
                }
            }
        }
    }
}
Code bearbeiten und ausführen