Loading ...
Sorry, an error occurred while loading the content.

Auxilio com update

Expand Messages
  • Jose - Java
    Algum colega poderia me dar um auxilio com esse update ? String sql = update tbl_bloco set tbl_bloco_nome = + bloco.getNomeBloco() + where
    Message 1 of 8 , Apr 3, 2009
    • 0 Attachment
      Algum colega poderia me dar um auxilio com esse update ?
       
       
      String sql = "update tbl_bloco set  tbl_bloco_nome = '" + bloco.getNomeBloco() + "'  where tbl_bloco_codigo = + id;
       
       
      quero atualizar tbl_bloco_nome desde q tbl_bloco_codigo seja igual a id.
       
      []
       
      Barba
    • Vitor Fernandes
      falta fechar a String where tbl_bloco_codigo = + id; Evite concatenar Strings, o código pode ficar vulneravel a SQL Injection.
      Message 2 of 8 , Apr 3, 2009
      • 0 Attachment
        falta fechar a String "' where tbl_bloco_codigo = " + id;

        Evite concatenar Strings, o código pode ficar vulneravel a SQL Injection.

        http://java.sun.com/docs/books/tutorial/jdbc/basics/prepared.html

        tente usar o PreparedStatement:

        http://www.google.com.br/search?hl=pt-BR&q=define%3A+sql++injection&btnG=Pesquisar&meta=

        2009/4/3 Jose - Java <jap_java@...>:
        > Algum colega poderia me dar um auxilio com esse update ?
        >
        >
        > String sql = "update tbl_bloco set  tbl_bloco_nome = '" +
        > bloco.getNomeBloco() + "'  where tbl_bloco_codigo = + id;
        >
        >
        > quero atualizar tbl_bloco_nome desde q tbl_bloco_codigo seja igual a id.
        >
        > []
        >
        > Barba
        >
        >
      • Vinicius Mello Lima
        preparedstatement não é invulnerável a sql injection :) 2009/4/3 Vitor Fernandes ... -- Atenciosamente, Vinicius Mello Lima
        Message 3 of 8 , Apr 3, 2009
        • 0 Attachment
          preparedstatement não é invulnerável a sql injection :)

          2009/4/3 Vitor Fernandes <thevitu@...>

          falta fechar a String "' where tbl_bloco_codigo = " + id;

          Evite concatenar Strings, o código pode ficar vulneravel a SQL Injection.

          http://java.sun.com/docs/books/tutorial/jdbc/basics/prepared.html

          tente usar o PreparedStatement:

          http://www.google.com.br/search?hl=pt-BR&q=define%3A+sql++injection&btnG=Pesquisar&meta=

          2009/4/3 Jose - Java <jap_java@...>:


          > Algum colega poderia me dar um auxilio com esse update ?
          >
          >
          > String sql = "update tbl_bloco set  tbl_bloco_nome = '" +
          > bloco.getNomeBloco() + "'  where tbl_bloco_codigo = + id;
          >
          >
          > quero atualizar tbl_bloco_nome desde q tbl_bloco_codigo seja igual a id.
          >
          > []
          >
          > Barba
          >
          >



          --
          Atenciosamente,
          Vinicius Mello Lima
        • Vitor Fernandes
          Pô, Vinicius explica um pouco melhor isso ae.
          Message 4 of 8 , Apr 4, 2009
          • 0 Attachment
            Pô, Vinicius explica um pouco melhor isso ae.

            2009/4/3 Vinicius Mello Lima <vinicius.ugf@...>:
            > preparedstatement não é invulnerável a sql injection :)
            >
            > 2009/4/3 Vitor Fernandes <thevitu@...>
            >>
            >> falta fechar a String "' where tbl_bloco_codigo = " + id;
            >>
            >> Evite concatenar Strings, o código pode ficar vulneravel a SQL Injection.
            >>
            >> http://java.sun.com/docs/books/tutorial/jdbc/basics/prepared.html
            >>
            >> tente usar o PreparedStatement:
            >>
            >>
            >> http://www.google.com.br/search?hl=pt-BR&q=define%3A+sql++injection&btnG=Pesquisar&meta=
            >>
            >> 2009/4/3 Jose - Java <jap_java@...>:
            >>
            >> > Algum colega poderia me dar um auxilio com esse update ?
            >> >
            >> >
            >> > String sql = "update tbl_bloco set  tbl_bloco_nome = '" +
            >> > bloco.getNomeBloco() + "'  where tbl_bloco_codigo = + id;
            >> >
            >> >
            >> > quero atualizar tbl_bloco_nome desde q tbl_bloco_codigo seja igual a id.
            >> >
            >> > []
            >> >
            >> > Barba
            >> >
            >> >
            >
            >
            >
            > --
            > Atenciosamente,
            > Vinicius Mello Lima
            >
            >
          • Vinicius Mello Lima
            http://www.owasp.org/index.php/Preventing_SQL_Injection_in_Java 2009/4/4 Vitor Fernandes ... -- Atenciosamente, Vinicius Mello Lima
            Message 5 of 8 , Apr 5, 2009
            • 0 Attachment
              http://www.owasp.org/index.php/Preventing_SQL_Injection_in_Java

              2009/4/4 Vitor Fernandes <thevitu@...>

              Pô, Vinicius explica um pouco melhor isso ae.

              2009/4/3 Vinicius Mello Lima <vinicius.ugf@...>:


              > preparedstatement não é invulnerável a sql injection :)
              >
              > 2009/4/3 Vitor Fernandes <thevitu@...>
              >>
              >> falta fechar a String "' where tbl_bloco_codigo = " + id;
              >>
              >> Evite concatenar Strings, o código pode ficar vulneravel a SQL Injection.
              >>
              >> http://java.sun.com/docs/books/tutorial/jdbc/basics/prepared.html
              >>
              >> tente usar o PreparedStatement:
              >>
              >>
              >> http://www.google.com.br/search?hl=pt-BR&q=define%3A+sql++injection&btnG=Pesquisar&meta=
              >>
              >> 2009/4/3 Jose - Java <jap_java@...>:
              >>
              >> > Algum colega poderia me dar um auxilio com esse update ?
              >> >
              >> >
              >> > String sql = "update tbl_bloco set  tbl_bloco_nome = '" +
              >> > bloco.getNomeBloco() + "'  where tbl_bloco_codigo = + id;
              >> >
              >> >
              >> > quero atualizar tbl_bloco_nome desde q tbl_bloco_codigo seja igual a id.
              >> >
              >> > []
              >> >
              >> > Barba
              >> >
              >> >
              >
              >
              >
              > --
              > Atenciosamente,
              > Vinicius Mello Lima
              >
              >



              --
              Atenciosamente,
              Vinicius Mello Lima
            • Vitor Fernandes
              Variables passed as arguments to prepared statements will automatically be escaped by the JDBC driver. O Exemplo: PreparedStatement prepStmt =
              Message 6 of 8 , Apr 5, 2009
              • 0 Attachment
                Variables passed as arguments to prepared statements will
                automatically be escaped by the JDBC driver.

                O Exemplo:

                PreparedStatement prepStmt = con.prepareStatement("SELECT * FROM user
                WHERE userId = '+strUserName+'");

                Usa concatenação de String justamente o que falei para ele evitar.

                Agora os setters de PreparedStatement são seguros.

                2009/4/6 Vinicius Mello Lima <vinicius.ugf@...>:
                > http://www.owasp.org/index.php/Preventing_SQL_Injection_in_Java
                >
                > 2009/4/4 Vitor Fernandes <thevitu@...>
                >>
                >> Pô, Vinicius explica um pouco melhor isso ae.
                >>
                >> 2009/4/3 Vinicius Mello Lima <vinicius.ugf@...>:
                >>
                >> > preparedstatement não é invulnerável a sql injection :)
                >> >
                >> > 2009/4/3 Vitor Fernandes <thevitu@...>
                >> >>
                >> >> falta fechar a String "' where tbl_bloco_codigo = " + id;
                >> >>
                >> >> Evite concatenar Strings, o código pode ficar vulneravel a SQL
                >> >> Injection.
                >> >>
                >> >> http://java.sun.com/docs/books/tutorial/jdbc/basics/prepared.html
                >> >>
                >> >> tente usar o PreparedStatement:
                >> >>
                >> >>
                >> >>
                >> >> http://www.google.com.br/search?hl=pt-BR&q=define%3A+sql++injection&btnG=Pesquisar&meta=
                >> >>
                >> >> 2009/4/3 Jose - Java <jap_java@...>:
                >> >>
                >> >> > Algum colega poderia me dar um auxilio com esse update ?
                >> >> >
                >> >> >
                >> >> > String sql = "update tbl_bloco set  tbl_bloco_nome = '" +
                >> >> > bloco.getNomeBloco() + "'  where tbl_bloco_codigo = + id;
                >> >> >
                >> >> >
                >> >> > quero atualizar tbl_bloco_nome desde q tbl_bloco_codigo seja igual a
                >> >> > id.
                >> >> >
                >> >> > []
                >> >> >
                >> >> > Barba
                >> >> >
                >> >> >
                >> >
                >> >
                >> >
                >> > --
                >> > Atenciosamente,
                >> > Vinicius Mello Lima
                >> >
                >> >
                >
                >
                >
                > --
                > Atenciosamente,
                > Vinicius Mello Lima
                >
                >
              • Vinicius Mello Lima
                Ele retira palavras como drop, update, insert, etc? 2009/4/6 Vitor Fernandes ... -- Atenciosamente, Vinicius Mello Lima Ele retira palavras
                Message 7 of 8 , Apr 5, 2009
                • 0 Attachment
                  Ele retira palavras como drop, update, insert, etc?

                  2009/4/6 Vitor Fernandes <thevitu@...>

                  Variables passed as arguments to prepared statements will
                  automatically be escaped by the JDBC driver.

                  O Exemplo:

                  PreparedStatement prepStmt = con.prepareStatement("SELECT * FROM user
                  WHERE userId = '+strUserName+'");

                  Usa concatenação de String justamente o que falei para ele evitar.

                  Agora os setters de PreparedStatement são seguros.

                  2009/4/6 Vinicius Mello Lima <vinicius.ugf@...>:


                  > http://www.owasp.org/index.php/Preventing_SQL_Injection_in_Java
                  >
                  > 2009/4/4 Vitor Fernandes <thevitu@...>
                  >>
                  >> Pô, Vinicius explica um pouco melhor isso ae.
                  >>
                  >> 2009/4/3 Vinicius Mello Lima <vinicius.ugf@...>:
                  >>
                  >> > preparedstatement não é invulnerável a sql injection :)
                  >> >
                  >> > 2009/4/3 Vitor Fernandes <thevitu@...>
                  >> >>
                  >> >> falta fechar a String "' where tbl_bloco_codigo = " + id;
                  >> >>
                  >> >> Evite concatenar Strings, o código pode ficar vulneravel a SQL
                  >> >> Injection.
                  >> >>
                  >> >> http://java.sun.com/docs/books/tutorial/jdbc/basics/prepared.html
                  >> >>
                  >> >> tente usar o PreparedStatement:
                  >> >>
                  >> >>
                  >> >>
                  >> >> http://www.google.com.br/search?hl=pt-BR&q=define%3A+sql++injection&btnG=Pesquisar&meta=
                  >> >>
                  >> >> 2009/4/3 Jose - Java <jap_java@...>:
                  >> >>
                  >> >> > Algum colega poderia me dar um auxilio com esse update ?
                  >> >> >
                  >> >> >
                  >> >> > String sql = "update tbl_bloco set  tbl_bloco_nome = '" +
                  >> >> > bloco.getNomeBloco() + "'  where tbl_bloco_codigo = + id;
                  >> >> >
                  >> >> >
                  >> >> > quero atualizar tbl_bloco_nome desde q tbl_bloco_codigo seja igual a
                  >> >> > id.
                  >> >> >
                  >> >> > []
                  >> >> >
                  >> >> > Barba
                  >> >> >
                  >> >> >
                  >> >
                  >> >
                  >> >
                  >> > --
                  >> > Atenciosamente,
                  >> > Vinicius Mello Lima
                  >> >
                  >> >
                  >
                  >
                  >
                  > --
                  > Atenciosamente,
                  > Vinicius Mello Lima
                  >
                  >



                  --
                  Atenciosamente,
                  Vinicius Mello Lima
                • Vitor Fernandes
                  Se ele escarpa não tem problema. Não vai ser interpretado.
                  Message 8 of 8 , Apr 5, 2009
                  • 0 Attachment
                    Se ele escarpa não tem problema. Não vai ser interpretado.

                    2009/4/6 Vinicius Mello Lima <vinicius.ugf@...>:
                    > Ele retira palavras como drop, update, insert, etc?
                    >
                    > 2009/4/6 Vitor Fernandes <thevitu@...>
                    >>
                    >> Variables passed as arguments to prepared statements will
                    >> automatically be escaped by the JDBC driver.
                    >>
                    >> O Exemplo:
                    >>
                    >> PreparedStatement prepStmt = con.prepareStatement("SELECT * FROM user
                    >> WHERE userId = '+strUserName+'");
                    >>
                    >> Usa concatenação de String justamente o que falei para ele evitar.
                    >>
                    >> Agora os setters de PreparedStatement são seguros.
                    >>
                    >> 2009/4/6 Vinicius Mello Lima <vinicius.ugf@...>:
                    >>
                    >> > http://www.owasp.org/index.php/Preventing_SQL_Injection_in_Java
                    >> >
                    >> > 2009/4/4 Vitor Fernandes <thevitu@...>
                    >> >>
                    >> >> Pô, Vinicius explica um pouco melhor isso ae.
                    >> >>
                    >> >> 2009/4/3 Vinicius Mello Lima <vinicius.ugf@...>:
                    >> >>
                    >> >> > preparedstatement não é invulnerável a sql injection :)
                    >> >> >
                    >> >> > 2009/4/3 Vitor Fernandes <thevitu@...>
                    >> >> >>
                    >> >> >> falta fechar a String "' where tbl_bloco_codigo = " + id;
                    >> >> >>
                    >> >> >> Evite concatenar Strings, o código pode ficar vulneravel a SQL
                    >> >> >> Injection.
                    >> >> >>
                    >> >> >> http://java.sun.com/docs/books/tutorial/jdbc/basics/prepared.html
                    >> >> >>
                    >> >> >> tente usar o PreparedStatement:
                    >> >> >>
                    >> >> >>
                    >> >> >>
                    >> >> >>
                    >> >> >> http://www.google.com.br/search?hl=pt-BR&q=define%3A+sql++injection&btnG=Pesquisar&meta=
                    >> >> >>
                    >> >> >> 2009/4/3 Jose - Java <jap_java@...>:
                    >> >> >>
                    >> >> >> > Algum colega poderia me dar um auxilio com esse update ?
                    >> >> >> >
                    >> >> >> >
                    >> >> >> > String sql = "update tbl_bloco set  tbl_bloco_nome = '" +
                    >> >> >> > bloco.getNomeBloco() + "'  where tbl_bloco_codigo = + id;
                    >> >> >> >
                    >> >> >> >
                    >> >> >> > quero atualizar tbl_bloco_nome desde q tbl_bloco_codigo seja igual
                    >> >> >> > a
                    >> >> >> > id.
                    >> >> >> >
                    >> >> >> > []
                    >> >> >> >
                    >> >> >> > Barba
                    >> >> >> >
                    >> >> >> >
                    >> >> >
                    >> >> >
                    >> >> >
                    >> >> > --
                    >> >> > Atenciosamente,
                    >> >> > Vinicius Mello Lima
                    >> >> >
                    >> >> >
                    >> >
                    >> >
                    >> >
                    >> > --
                    >> > Atenciosamente,
                    >> > Vinicius Mello Lima
                    >> >
                    >> >
                    >
                    >
                    >
                    > --
                    > Atenciosamente,
                    > Vinicius Mello Lima
                    >
                    >
                  Your message has been successfully submitted and would be delivered to recipients shortly.