Discussoes de Programacao e Tecnologia

Querys SQLinjection

7 respostas
F
fernandoat

Bom dia,

Queria saber quais são as opções que tenho para criar querys SQL no Java.

Tenho a seguinte situação

String query = "select * from produto where ativo = 1";

if(nomeP != null){
   query += " and nome like '%"+nomeP+"%'";
}
if(fabricante != null){
   query += " and fabricante like '%"+fabricante +"%'";
}

Mas com isso teria SQLInjection. quais são as melhores praticas para isso.

Alura Desenvolvimento Back-End Java Sua Carreira em desenvolvimento back-end Java: dos fundamentos à arquitetura de sistemas...

7 Respostas

Rodrigo_Sasaki
Rodrigo_Sasaki

Pesquise por PreparedStatement

F
fernandoat

Eu cheguei a dar uma olhada no PreparedStatement, mas não consigo uma solução para quando tenho parametros variados na query.

A unica solução que imaginei para isso seria

int intNome = 0;
		int intFabricante = 0;
		String fabricante= "";
		String query = "select * from produto where ativo = 1";  
		  
		if(nomeP != null){
		   query += " and nome like '%?%'";  
		   intNome = ++intParams;
		}  
		if(fabricante != null){  
		   query += " and fabricante like '%?%'";
		   intFabricante = ++intParams;
		}  
		
		PreparedStatement ps = conn.prepareStatement(query);
		if (nomeP != null) {
			ps.setString(intNome, nomeP);
		}
		if (fabricante != null) {
			ps.setString(intFabricante, fabricante);
		}
Rodrigo_Sasaki
Rodrigo_Sasaki

É, montar uma query assim é sempre um trabalho sujo. uns ifs que você não queria ter que colocar na sua query.

A vantagem no final ao usar o PreparedStatement é que você não tem que se preocupar com SQL Injection

F
fernandoat

Obrigado, melhor colocar ifs no codigo do que no sql…
obrigado.

Rodrigo_Sasaki
Rodrigo_Sasaki

Concordo com você :slight_smile:

gomesrod
gomesrod

Como o Rodrigo disse, fica sujão, mas usando JDBC não dá pra fugir de alguma coisa parecida com isso.

Só um pequeno erro: quando se usa PreparedStatement não se coloca as aspas:

where campo_string = '?'   // errado
where campo_string = ?   // certo

As aspas são incluídas automaticamente ao redor do valor, assim como é feito o tratamento das aspas que por acaso estiverem dentro do parâmetro (evitando SQLInjection)

E aí os curingas do like acabam não funcionando também dessa forma… para fazer like seu código vai ter que ficar ainda mais feio :slight_smile:

query = ....... where campo_string like ? 
query.setString(1, "%" + valor + "%");
F
fernandoat

é quando implementei percebi esses detalhes. Mas obrigado mesmo assim Gomesrod

Criado 5 de abril de 2013
Ultima resposta 5 de abr. de 2013
Respostas 7
Participantes 3

Topicos relacionados

Como saber se um mes tem 4 ou 5 semanas?[RESOLVIDO] 31 respostas Como converter inteiro para string! 13 respostas Comando SELECT para selecionar intervalo de data SQL SERVER 12 respostas &, &&, |, ||. Qndo usar? 6 respostas O método split 12 respostas
Alura Git Flow: entenda o que é, como e quando utilizar Entenda o que é Git Flow, como funciona seu fluxo com branches como Master, Develop, Feature, Release e Hotfix, além de vantagens e desvantagens.
Casa do Codigo Ontologias e Web Semantica: Do conceito a aplicacao Por Ivam Galvao Filho — Casa do Codigo