ComeçarComece de graça

Prepared Statements

Depois de identificar a vulnerabilidade de SQL injection, a CityBook Libraries precisa que você proteja o recurso de busca de livros. Você vai trocar os objetos Statement por PreparedStatement para impedir ataques de injeção.

A classe HikariSetup já está configurada.

Este exercício faz parte do curso

Consultando um banco de dados PostgreSQL em Java

Ver curso

Instruções do exercício

  • Use um placeholder para o parâmetro de título.
  • Crie um PreparedStatement a partir da conexão.
  • Defina o parâmetro title no prepared statement.

Exercício interativo prático

Experimente este exercício completando este código de exemplo.

public class Main {
    public static void main(String[] args) throws SQLException {
        HikariDataSource ds = HikariSetup.createDataSource();
        // Set the parameter in the query
        String query = "SELECT * FROM books WHERE title = ____";
        // Create the prepared statement
        try (Connection conn = ds.getConnection();
            PreparedStatement pstmt = ____.____(query)) {
            // Set the title parameter
            pstmt.____(____, "Clean Code");
            try (ResultSet rs = pstmt.executeQuery()) {
                while (rs.next()) {
                    System.out.printf("ID: %d, Title: %s (%d)%n", rs.getInt("book_id"), rs.getString("title"), rs.getInt("publication_year"));
                }
            }
        }
    }
}
Editar e executar o código