[Resolvido] Isso é seguro?

[Naghtrion]

public static void query(String query) {
    try {
        Statement stmt = connect.createStatement();
        stmt.execute(query);
    } catch (SQLException e) {
        e.printStackTrace();
    }
}

Esse código para executar a query sql, é seguro? Ele escapa as aspas e talz? tipo o PDO no php?

[Guest Coe]

PreparedStatement é mais seguro

[Naghtrion]

PreparedStatement é mais seguro

String query = "SELECT id, text FROM blogs WHERE UPPER(text) LIKE ?";
  try
  {
    searchCriteria = searchCriteria.toUpperCase();

    // create the preparedstatement and add the criteria
    PreparedStatement ps = conn.prepareStatement(query);
    ps.setString(1, "%" + searchCriteria + "%");

    // process the results
    ResultSet rs = ps.executeQuery();
  }
...

esse?

sou bem fail em java hehe

[Guest Coe]

esse?

sou bem fail em java hehe

é por ai

[leonardosc]

Provavelmente da pra fazer sqlinjection... Não sei se o jdbc já escapa os caracteres especiais por padrão...

[Naghtrion]

Pesquisei um pouquinho e falam que PreparedStatement é seguro e escapas os caracteres...

http://www.devmedia.com.br/sql-injection-em-ambientes-web/9733

http://java.sapao.net/Home/evitar-command-injection

[leonardosc]

Sua dúvida foi marcada como [Resolvido] e movido à área de dúvidas resolvidas.


Atenciosamente,
Gamer's Board