Prepared statements
Na het ontdekken van de SQL-injectie kwetsbaarheid heeft CityBook Libraries je nodig om de boekzoekfunctie te beveiligen. Je stapt over van eenvoudige Statement-objecten naar PreparedStatement om injectie-aanvallen te voorkomen.
De klasse HikariSetup is al geconfigureerd.
Deze oefening maakt deel uit van de cursus
Query's uitvoeren op een PostgreSQL-database in Java
Oefeninstructies
- Gebruik een placeholder voor de title-parameter.
- Maak een
PreparedStatementvanuit de connectie. - Stel de parameter
titlein voor de prepared statement.
Praktische interactieve oefening
Probeer deze oefening eens door deze voorbeeldcode in te vullen.
public class Main {
public static void main(String[] args) throws SQLException {
HikariDataSource ds = HikariSetup.createDataSource();
// Set the parameter in the query
String query = "SELECT * FROM books WHERE title = ____";
// Create the prepared statement
try (Connection conn = ds.getConnection();
PreparedStatement pstmt = ____.____(query)) {
// Set the title parameter
pstmt.____(____, "Clean Code");
try (ResultSet rs = pstmt.executeQuery()) {
while (rs.next()) {
System.out.printf("ID: %d, Title: %s (%d)%n", rs.getInt("book_id"), rs.getString("title"), rs.getInt("publication_year"));
}
}
}
}
}