Este código java trata de insertar un usuario en una base de datos.
conn = pool.getConnection();
conn = bd.getConnection();
sql = "INSERT INTO usuarios (playername, password, email) VALUES ("+user+","+pwd+","+email+")";
ps = conn.createStatement();
ps.executeQuery(sql);
Cuando ejecutamos consultas sobre una base de datos es importante tratar de no concatenar cadenas y la manera de ejecutar la sentencia correctamente sin posibilidad de inyección SQL sería asi:
conn = pool.getConnection();
conn = bd.getConnection();
sql = "INSERT INTO usuarios (playername, password, email) VALUES (?, ?, ?)";
ps.setString(1, user);
ps.setString(2, pwd);
ps.setString(3, email);
ps = conn.createStatement();
ps.executeQuery(sql);
No hay comentarios:
Publicar un comentario