Arquivo Discussoes de Programacao e Tecnologia 
protected StringBuffer qry = new StringBuffer();
if (!"".equals(cnpj))
qry.append("AND cnpj LIKE '" + cnpj + "'");
qry.append("SELECT tc.* FROM tblcliente tc where tc.idcliente = tc.idcliente " + qry.toString() +"order by nome");
Valeu....
Rocha 8)
assim acho que fica melhor:
protected StringBuffer qry = new StringBuffer();
qry.append("SELECT tc.* FROM tblcliente tc where tc.idcliente = tc.idcliente "
if (!"".equals(cnpj))
qry.append("AND cnpj LIKE '" + cnpj + "'");
+ qry.toString() +"order by nome");
[]'s
Ai o maneh coloca um CPF assim oh:
; DELETE FROM tblcliente --
E voce vai passar o dia preferindo ter acordado com uma caganeira.
USE PREPAREDSTATEMENT!
Ai o maneh coloca um CPF assim oh:; DELETE FROM tblcliente --E voce vai passar o dia preferindo ter acordado com uma caganeira.
USE PREPAREDSTATEMENT!
Não entendi nada
Rocha, isso q o cv demonstrou se chama sql injection, o q aconteceria é q seriam executados dois comandos:
SELECT tc.* FROM tblcliente tc where tc.idcliente = tc.idcliente AND cnpj LIKE '';
DELETE FROM tblcliente --' order by nome
Pronto, todos seus dados iriam para o brejo, hehehe
Com prepared statement isso não acontece!
Fallow
Faz assim ó:
String sql = "SELECT A, B, C FROM XYZ WHERE K = ?";
PreparedStatement ps = conn.prepareStatement( sql );
ps.setString( 1, "ALGUM VALOR" );
Faz assim ó:
ps.setString( 1, “ALGUM VALOR” );
O q seria isso
Vcs teriam alguma classe pequena de exemplo usando isso para mim dar uma olhada
tente aqui:
http://www.javaalmanac.com/cgi-bin/search/find.pl?words=PreparedStatement
ou leia as docs no site da sun… ta tudo la!
[]'s
Para saber mais, leia isso: http://java.sun.com/docs/books/tutorial/jdbc/basics/prepared.html