09/01/2009, 06:22
|
| | Fecha de Ingreso: noviembre-2008
Mensajes: 16
Antigüedad: 16 años, 1 mes Puntos: 0 | |
Postgresql Injection Buenos dias!!
Llevo unos días mirandomelo y "no hay tu tía"....
Resulta que estoy haciendo una app web mediante JSF (Netbeas 6.5) y trabajando con postgresql 8.3; me gustaría controlar los campos rellenados por el usuario, ya que según que carácteres son vulnerables para la base de datos....total, que tengo el siguiente código:
public boolean exist(String name) throws SQLException{
boolean exist = true;
conexion.setAutoCommit(false);
CallableStatement proc = conexion.prepareCall("{SELECT * FROM department where named = '"+name+"'}");
proc.registerOutParameter(1, Types.INTEGER);
proc.execute();
ResultSet results = (ResultSet) proc.getObject(1);
if (!results.next()){
exist=false;
}
results.close();
proc.close();
return exist;
}
A esta función la llamo cuando el usuario introduce el nombre de un nuevo departamento y quiero comprobar que este nombre no exista en mi bd....y mediante el prepareCall deseo controlar la escritura del string introducido por el usuario.....El error q me sale indica que la sentencia esta mal escrita......por favor, serian tan amables de ayudarme?¿?¿?¿?¿?
Muchas gracias por vuestro tiempo,
Angie |