Ver Mensaje Individual
  #1 (permalink)  
Antiguo 09/01/2009, 06:22
angieml
 
Fecha de Ingreso: noviembre-2008
Mensajes: 16
Antigüedad: 16 años, 1 mes
Puntos: 0
Postgresql Injection

Buenos dias!!

Llevo unos días mirandomelo y "no hay tu tía"....
Resulta que estoy haciendo una app web mediante JSF (Netbeas 6.5) y trabajando con postgresql 8.3; me gustaría controlar los campos rellenados por el usuario, ya que según que carácteres son vulnerables para la base de datos....total, que tengo el siguiente código:


public boolean exist(String name) throws SQLException{

boolean exist = true;


conexion.setAutoCommit(false);

CallableStatement proc = conexion.prepareCall("{SELECT * FROM department where named = '"+name+"'}");
proc.registerOutParameter(1, Types.INTEGER);
proc.execute();
ResultSet results = (ResultSet) proc.getObject(1);

if (!results.next()){

exist=false;
}
results.close();
proc.close();

return exist;
}

A esta función la llamo cuando el usuario introduce el nombre de un nuevo departamento y quiero comprobar que este nombre no exista en mi bd....y mediante el prepareCall deseo controlar la escritura del string introducido por el usuario.....El error q me sale indica que la sentencia esta mal escrita......por favor, serian tan amables de ayudarme?¿?¿?¿?¿?

Muchas gracias por vuestro tiempo,

Angie