Re: [java-list] SQL - query

[Sven van īt Veer]

Mas isso somente pode se não faz sanity check nos dados.

De qq forma sempre tem que verificar se o que está recebendo é o que deveria receber e não é bargunçã.

Existem sites (ate aqui no brasil) que deixam vc inserir no lugar de um endereço email o seguinte:
"><script language=javascript><img src="hello:"></script>

Ai já era (ie.exe e explorer.exe no windooze de qq pessoa acessando essa pagina). O preparedStatement não resolve isso se o campo for String. Vc sempre precisa fazer um sanity check nos dados.

Sven

Leonardo Souza Mario Bueno wrote:

006401c0f821$d40ffa40$1e04010a@hendrix">

Outra vantagem dos PreparedStatements é que eles evitam que alguem mal intencionado
passe valores indevidos em algum campo de formulário e faça uma caca no seu BD.

Ex:

String strUpdate = "update Conta set SALDO = SALDO + " + strDeposito +"where NUM_CTA
= "+strConta;
stmt.executeUpdate(strUpdate);

Ai chega um mane e preenche o formulário assim:

Valor: 3000,  TITULAR = "Cicrano"
Conta: 11111-1 or NUM_CTA is not null

Lá se foi o seu BD... pode voltar o backup.

Leonardo Bueno.

----- Original Message -----
From: "Cassio Sampaio" <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Sent: Monday, June 18, 2001 1:21 PM
Subject: Re: [java-list] SQL - query

Rodrigo,

As diferencas sao quanto ao tratamento que o Banco de dados vai dar ao seu comando.
O Prepared statement gera um comando que fica no cache do seu banco de dados, nao

necessitando

o banco fazer parse a cada nova execucao, enquanto o Statement normal requer que o

banco

o "recompile" a cada execucao.
Como via de regra sempre uso prepared Statements....

- Cassio

Rodrigo Fiche wrote:

Olá,
        Trabalho com Java/JSP e banco de dados Oracle e gostaria de tirar uma

duvida,

        prepareStatement e createStatement, qual a diferença? em que situação é

melhor utilizar prepare ou statement?

Abraços,
Rodrigo
Rodrigo Fiche
http://www.connection.com.br
[EMAIL PROTECTED]
tel. (21) 533-2716

------------------------------ LISTA SOUJAVA ----------------------------
http://www.soujava.org.br  -  Sociedade de Usuários Java da Sucesu-SP
dúvidas mais comuns: http://www.soujava.org.br/faq.htm
regras da lista: http://www.soujava.org.br/regras.htm
para sair da lista: envie email para [EMAIL PROTECTED]
-------------------------------------------------------------------------

--------------------------------------------------------------------------------


------------------------------ LISTA SOUJAVA ----------------------------
http://www.soujava.org.br  -  Sociedade de Usuários Java da Sucesu-SP
dúvidas mais comuns: http://www.soujava.org.br/faq.htm
regras da lista: http://www.soujava.org.br/regras.htm
para sair da lista: envie email para [EMAIL PROTECTED]
-------------------------------------------------------------------------


------------------------------ LISTA SOUJAVA ---------------------------- 
http://www.soujava.org.br  -  Sociedade de Usuários Java da Sucesu-SP 
dúvidas mais comuns: http://www.soujava.org.br/faq.htm
regras da lista: http://www.soujava.org.br/regras.htm
para sair da lista: envie email para [EMAIL PROTECTED] 
-------------------------------------------------------------------------