Hackeando las sentencias
CityBook Libraries está desarrollando una función de búsqueda que permite a los usuarios encontrar libros por título. Te preocupa la seguridad del sistema, así que has decidido ponerla a prueba contra ataques de inyección SQL.
Valida si puedes recuperar datos no autorizados mediante inyección SQL. La clase HikariSetup ya está configurada.
Este ejercicio forma parte del curso
Consultas a una base de datos PostgreSQL en Java
Instrucciones del ejercicio
- Cambia
titleParameterpara inyectar una condición que permita leer todos los libros.
Ejercicio interactivo práctico
Prueba este ejercicio y completa el código de muestra.
public class Main {
public static void main(String[] args) throws SQLException {
HikariDataSource ds = HikariSetup.createDataSource();
// Change the title to inject a condition that will allow reading all books
String titleParameter = "To Kill a Mockingbird";
String query = "SELECT * FROM books WHERE title = '" + titleParameter + "'";
try (Connection conn = ds.getConnection()) {
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery(query);
while (rs.next()) {
System.out.printf("ID: %d, Title: %s (%d)%n", rs.getInt("book_id"), rs.getString("title"), rs.getInt("publication_year"));
}
}
}
}