Prepared Statements
Nachdem eine SQL-Injection-Sicherheitslücke entdeckt wurde, musst du bei CityBook Libraries die Buchsuche absichern. Wechsle von einfachen Statement-Objekten zu PreparedStatement, um Injection-Angriffe zu verhindern.
Die Klasse HikariSetup ist bereits konfiguriert.
Diese Übung ist Teil des Kurses
<Kurs>Abfragen einer PostgreSQL-Datenbank in Java</Kurs>Übungsanweisungen
- Verwende einen Platzhalter für den title-Parameter.
- Erstelle aus der Verbindung ein
PreparedStatement. - Setze den Parameter
titlefür das Prepared Statement.
Interaktive praktische Übung
Versuche dich an dieser Übung, indem du diesen Beispielcode vervollständigst.
public class Main {
public static void main(String[] args) throws SQLException {
HikariDataSource ds = HikariSetup.createDataSource();
// Set the parameter in the query
String query = "SELECT * FROM books WHERE title = ____";
// Create the prepared statement
try (Connection conn = ds.getConnection();
PreparedStatement pstmt = ____.____(query)) {
// Set the title parameter
pstmt.____(____, "Clean Code");
try (ResultSet rs = pstmt.executeQuery()) {
while (rs.next()) {
System.out.printf("ID: %d, Title: %s (%d)%n", rs.getInt("book_id"), rs.getString("title"), rs.getInt("publication_year"));
}
}
}
}
}