[SOLUCIONADO] [Consulta] ResultSet o PrepareStatement

rodo593 · #1 (**permalink**) 09/01/2014, 18:14

Hola gente como estan

Vengo usando el ResultSet para verificar un login, algo así:

Código Java:

Ver originalpublic ResultSet consultar(String sql) {
 
        ResultSet resultado = null;
 
        try {
            resultado = consulta.executeQuery(sql);
 
        } catch (SQLException xp) {
            System.out.println("Mensaje:" + xp.getMessage());
            
        }
 
        return resultado;
 
    }

Este código no tiene todo los de ingresar user y pass, eso es aparte, lo muestro para que vean como hago las consultas a la base de datos.

Y me ha funcionado bien, pero me he dado cuenta de que puedo sufrir de una Inyección Sql.

Entonces investigando me dicen que lo puedo hacer con PrepareStatement.

¿Cuales son las diferencias entre ambos?

Gracias

rgf1987 · #2 (**permalink**) 10/01/2014, 01:20

Buenos días,

efectivamente para evitar la inyección SQL se utiliza PrepareStatement, usarlo implica variar un poco la realización de la consulta, un ejemplo sería el siguiente, para hacer un insert en una BBDD

Código Java:

Ver original/*Creamos el prepare y  la sentencia SQL que deseamos ejecutar donde los parámetros vendrán identificados por interrogantes ? */
PreparedStatement p = 
        conexion.prepareStatement("insert into tabla values (?,?,?)");
//Y para cada uno de los ? debemos cargar un parámetro usando uno de los métodos set que irán variando en función del tipo de dato que queremos añadir
p.setInt(1, 2); 
p.setString(2, "Loquesea");
p.setString(3, "Loquesea2");
//De esta forma el insert que se estaría realizando sería el siguiente
insert into tabla values(1, "Loquesea", "Loquesea2");

Con permiso de chuidiang, en su web tienes un apartado donde te viene todo esto bien explicado, además de mencionarte las ventajas y otras utilidades del PreparedStatement

http://www.chuidiang.com/java/mysql/...java-mysql.php

rodo593 · #3 (**permalink**) 10/01/2014, 15:00

Cita:

Iniciado por rgf1987

.......

Muchas gracias por el dato.
Entonces podría seguir utilizando el ResultSet para comparar los datos que ingresa el usuario con los de la base de datos.

Ya que como no se ingresa ningún dato, o sea no hago un INSERT INTO ...

Saludos.

PD: Sabes si es posible crear una interfaz gráfica divida en diferentes clases. Es que yo la he creado mas o menos de esta forma y me ha salido, pero quiero ver mas ejemplos y no he encontrado nada, es por la forma en que busco ya que no se .....

chuidiang · #4 (**permalink**) 11/01/2014, 06:15

Hola:

Prueba a que un usuario tenga en su nombre o en su password una comilla simple ' y mira a ver si funciona. El ResultSet no tiene nada que ver con el Statement o el PreparedStatement.

Sí, la interfaz gráfica se puede hacer en varias clases. Se puede hacer una clase por cada ventana que tenga. Si esas ventanas son grandes y complejas, pueden hacerse clases para paneles dentro de la ventana (JPanel con componentes dentro), sobre todo si estos paneles se pueden reutilizar en varias ventanas.

Se bueno.

rodo593 · #5 (**permalink**) 11/01/2014, 09:57

Cita:

Iniciado por chuidiang

Hola:

Prueba a que un usuario tenga en su nombre o en su password una comilla simple ' y mira a ver si funciona. El ResultSet no tiene nada que ver con el Statement o el PreparedStatement.

Sí, la interfaz gráfica se puede hacer en varias clases. Se puede hacer una clase por cada ventana que tenga. Si esas ventanas son grandes y complejas, pueden hacerse clases para paneles dentro de la ventana (JPanel con componentes dentro), sobre todo si estos paneles se pueden reutilizar en varias ventanas.

Se bueno.

Si entiendo el primer punto, entonces para hacer consultas también debería de usar el PreparedStatement?, es que a lo que yo entiendo, cuando hago una consulta yo solo saco datos no meto, entonces no importa si el usuario ingresa un nombre por ejemplo "O'connor" ya que este se guardaría en un String que nunca llega a entrar en la base de datos, solo se compara con lo que el ResultSet trae.
En lo que respecta a ingresar un nuevo usuario en la base de datos si tienes razón, ahí si puedo tener ese error.

En la parte de la GUI, yo he logrado hacerlo así, pero tengo miedo de que este mal porque tengo dudas. Cuando busco ejemplos de GUI me salen muy básicos o muy complejos, entonces no he logrado encontrar un ejemplo mas sencillo.

Muchas gracias.

chuidiang · #6 (**permalink**) 11/01/2014, 11:00

Hola:

Efectrivamente, es posible que no metas en base de datos el nombre al hacer la consulta, pero ... ¿Pones algo como "select .... where nombre='O'Connor'". Si es así, la consulta te fallará.

Se bueno.

rodo593 · #7 (**permalink**) 11/01/2014, 13:55

Gracias chudiang de verdad me has aclarado muchas dudas en este post.

Saludos.