Consulta SQL Constructores, etc

registernao · #1 (**permalink**) 23/11/2011, 16:00

Primer post y ya pidiendo ayuda

La verdad me registré recién, pero al parecer voy a pasar un buen tiempo por estos lados debido a que estoy aprendiendo Java.

Como sea mi consulta es la siguiente:
Estoy haciendo un programa con Jdialog donde tengo un botón el cual lanza una clase que tiene las consultas SQL.
El asúnto es que necesito hacer estas consultas SQL con parametros obtenidos de un TextField.

Ejemplo:

Código:

select * from tabla where columna = parametro

Ese es el tipo de consulta que necesito realizar a travez de esta clase.

Intenté poniendo los parametros de la siguiente forma (simplificado):

Código:

static void main(string p)
{
("select * from tabla where columna =" +p)
}

Luego en el panel lo ejecuto de la siguiente forma:

Código:

clase.main(jTextField1.getText());

Y no me funciona >_>
He estado varios días intentando figurar por mi cuenta una nueva forma de realizar esta operación pero todavía nada.
Soy nuevito en Java así que si me pudieran explicar de forma sencilla como hacerlo se los agradecería mucho.
Por último les paso los códigos:

El código del botón:

Código:

private void jButton1ActionPerformed(java.awt.event.ActionEvent evt) {                                         
        try {
            operaciones.qry(jTextField1.getText());
        } catch (ClassNotFoundException ex) {
            Logger.getLogger(busqueda.class.getName()).log(Level.SEVERE, null, ex);
        } catch (SQLException ex) {
            Logger.getLogger(busqueda.class.getName()).log(Level.SEVERE, null, ex);
        }
}

La Clase:

Código:

    static void qry(String r) throws ClassNotFoundException, SQLException
    {        
        Class.forName("com.mysql.jdbc.Driver");
    	Connection conn = DriverManager.getConnection(
		"jdbc:mysql://localhost:3306/base_de_datos","root","");
        Statement stmt = conn.createStatement();
        ResultSet rs = stmt.executeQuery(
 		"SELECT * FROM alumno WHERE rut_a ="+r);
        while (rs.next())
        {
            String rut = rs.getString("RUT_A");
            String nom = rs.getString("Nombre");
            String ape = rs.getString("Apellido");
            String eml = rs.getString("email");
            System.out.println(rut+"\t"+nom+"\t"+ape+"\t"+eml);
        }
        rs.close();
        stmt.close();
        conn.close(); 
    }

Ojalá pudieran ayudarme, gracias :)

calichecal · #2 (**permalink**) 23/11/2011, 16:56

Asumo que los metodos estan muyyyy simplificados
no olvides las comillas simples de SQL:

Código:

static void main(string p)
{
"select * from tabla where columna =' " +p+" ' ")// comillas simples para character, deje espacios entre comillas simples y dobles solo para que se note la comilla simple.
}

mejor:

Código:

static void main(string p)
{
"select * from tabla where columna like ' " +p+" ' ")// comillas simples para character
}

registernao · #3 (**permalink**) 23/11/2011, 17:05

Excelente funciono perfectamente.
La verdad no sé como funcionan los apostrofes dentro de la sentencia pero eso fue lo que hizo la diferencia.
Podrías explicarme un poco como debo utilizarlos dentro del statement para estar seguro de como aplicarlo a nuevas consultas en un futuro :)

Porque por ejemplo si fuese un insert:
"insert into tabla values ("+r","+n","+a","+e")";
¿Cómo pondrias las comillas simples?

calichecal · #4 (**permalink**) 23/11/2011, 17:31

claro ,

pon le cuidado que si tu insertas en el jtextfield:

Código:

hola'como'estas

,

la sentencia queda:

Código:

select * from tabla where columna = 'hola'como'estas'

toda una locura, eso lo solucionas con:

"select * from tabla where columna like ' " +p.replace("'","''")+" ' ")

o limitando los caracteres permitidos para el jtextfield con la clase:

Código:

public class LimCaracteres extends PlainDocument {
    


    private JTextField editor;
 

  
    public LimCaracteres(JTextField editor) 
    { 
        
        this.editor=editor;
        
    } 
     
    
   
    public void insertString(int arg0, String arg1, AttributeSet arg2) throws BadLocationException 
    { 

          
        

        boolean cumple = false;
        int ascii = arg1.charAt(0);

// los caracteres que permito yo solo son los mas utilizados en escritura y que no //son peligrosos para consultas sql (no verificado :P)
        if ((ascii > 63 && ascii < 92) || (ascii > 96 && ascii < 124) || ascii == 125 || ascii == 249 || ascii == 32 || ascii == 40 || ascii == 41 ) {
            cumple = true;
        } else if ((ascii > 47 && ascii < 63) || (ascii > 42 && ascii < 47) || (ascii > 34 && ascii < 38) || ascii == 93 || ascii == 63 || ascii == 34 || 
                   (ascii > 127 && ascii < 169)) { 
            cumple = true;
        }

        if (!cumple) {
            return;
        }
         super.insertString(arg0, arg1, arg2); 
    } 
     
}

la utilizaciòn:

Código:

jTextField1.setDocument(new LimCaracteres(jTextField1));

todo esto es bastante amplio pilla lo que se le pues insertar al jTextField1:

jtexfield que pide un nombre:

Código:

"Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '%"

saludos... :)

calichecal · #5 (**permalink**) 23/11/2011, 17:35

Cita:

Iniciado por registernao

Excelente funciono perfectamente.
La verdad no sé como funcionan los apostrofes dentro de la sentencia pero eso fue lo que hizo la diferencia.
Podrías explicarme un poco como debo utilizarlos dentro del statement para estar seguro de como aplicarlo a nuevas consultas en un futuro :)

Porque por ejemplo si fuese un insert:
"insert into tabla values ("+r","+n","+a","+e")";
¿Cómo pondrias las comillas simples?

corrigiend primero:

Código:

"insert into tabla values ("+r+","+n+","+a+","+e+")";

ahhora si:

Código:

"insert into tabla values ('"+r+"','"+n+"','"+a+"','"+e+"')";

registernao · #6 (**permalink**) 23/11/2011, 17:50

Muchísimas gracias, se entiendio todo perfectamente :)

calichecal · #7 (**permalink**) 23/11/2011, 18:05

Cita:

Iniciado por registernao

Muchísimas gracias, se entiendio todo perfectamente :)

ok listo: mira mas información:

http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL