ComenzarEmpieza gratis

Sentencias preparadas

Tras descubrir la vulnerabilidad de inyección SQL, CityBook Libraries necesita que asegures la función de búsqueda de libros. Vas a pasar de usar objetos Statement a PreparedStatement para evitar ataques de inyección.

La clase HikariSetup ya está configurada.

Este ejercicio forma parte del curso

Consultas a una base de datos PostgreSQL en Java

Ver curso

Instrucciones del ejercicio

  • Usa un marcador de posición para el parámetro del título.
  • Crea un PreparedStatement a partir de la conexión.
  • Establece el parámetro title en la sentencia preparada.

Ejercicio interactivo práctico

Prueba este ejercicio y completa el código de muestra.

public class Main {
    public static void main(String[] args) throws SQLException {
        HikariDataSource ds = HikariSetup.createDataSource();
        // Set the parameter in the query
        String query = "SELECT * FROM books WHERE title = ____";
        // Create the prepared statement
        try (Connection conn = ds.getConnection();
            PreparedStatement pstmt = ____.____(query)) {
            // Set the title parameter
            pstmt.____(____, "Clean Code");
            try (ResultSet rs = pstmt.executeQuery()) {
                while (rs.next()) {
                    System.out.printf("ID: %d, Title: %s (%d)%n", rs.getInt("book_id"), rs.getString("title"), rs.getInt("publication_year"));
                }
            }
        }
    }
}
Editar y ejecutar código