Invadindo as instruções
A CityBook Libraries está desenvolvendo um recurso de busca que permite aos usuários procurar livros pelo título. Você está preocupado com a segurança do sistema e decidiu testá-lo contra ataques de SQL injection.
Verifique se você consegue recuperar dados não autorizados usando SQL injection. A classe HikariSetup já está configurada.
Este exercício faz parte do curso
Consultando um banco de dados PostgreSQL em Java
Instruções do exercício
- Altere
titleParameterpara injetar uma condição que permita ler todos os livros.
Exercício interativo prático
Experimente este exercício completando este código de exemplo.
public class Main {
public static void main(String[] args) throws SQLException {
HikariDataSource ds = HikariSetup.createDataSource();
// Change the title to inject a condition that will allow reading all books
String titleParameter = "To Kill a Mockingbird";
String query = "SELECT * FROM books WHERE title = '" + titleParameter + "'";
try (Connection conn = ds.getConnection()) {
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery(query);
while (rs.next()) {
System.out.printf("ID: %d, Title: %s (%d)%n", rs.getInt("book_id"), rs.getString("title"), rs.getInt("publication_year"));
}
}
}
}