Artículos
Java

Consultas SQL con parametros en Java JDBC

01/Ago/2007

Contra una base de datos podemos ejecutar diferentes tipos de sentencias, desde una simple consulta, pasando por inserciones masivas, hasta una sentencia que aumente los permisos de un grupo de usuarios.

Pero ahora nos vamos a centrar en las consultas (SELECT) con Java JDBC. Este tipo de sentencias las utilizaremos para recuperar un conjunto de datos de la base de datos. En ellas, lo normal, es seleccionar un conjunto de campos de una tabla y mostrarlos por pantalla.

Claro esta que cuando abandonamos el ejemplo básico de la tabla de 10 registros y nos enfrentemos a tablas de millones y millones de datos, deberíamos, vamos, que sería bastante aconsejable, realizar algún tipo de filtro. Creo que cualquier administrador de bases de datos podría llegar a las manos con nosotros si ejecutamos una consulta sobre una tabla de clientes si no incluyésemos ningún filtro. Ahora, que si solo filtramos por ciudad igual a «Ávila», creo que también.

Bueno, a lo que vamos. Tenemos diferentes formas de realizar filtros en una consulta. El primer acercamiento es codificar directamente los valores en la sentencia. Algo como…

SELECT nombre, edad, profesión, ciudad
FROM personas
WHERE ciudad = 'Ávila'
AND edad BETWEEN 24 AND 32

Eso sí, esperemos que nuestro jefe no nos diga que quiere un informe donde introduciendo una ciudad y dos edades le saquemos el conjunto de personas que cumplen dichos requisitos.

A si que como somos muy previsores, montamos la siguiente consulta donde van a ir los parámetros como variables. Quedando algo así…

String sCiudad, sEdad1, sEdad2;
String sSQL = "SELECT nombre, edad, profesión, ciudad FROM personas WHERE ciudad = '" + sCiudad + "' AND edad BETWEEN " + sEdad1 + " AND " + sEdad1 + ";"

Pues este es uno de los mayores errores que podemos cometer y es que la concatenación de cadenas puede dar lugar a lo siguiente (si no tomamos la precauciones necesarias y si da la casualidad de que tenemos un usuario un poco avispado).

sCiudad = "Avila";
sEdad1 = "20";
sEdad2 = "28; DELETE FROM cuentas";

Quedándonos en ejecución la siguiente consulta:

SELECT nombre, edad, profesión, ciudad
FROM personas
WHERE ciudad = 'Ávila'
AND edad BETWEEN 24 AND 32;
DELETE FROM cuentas

Y creo que esta si que no le va a gustar nada a nuestro jefe.

Digamos que esto es un caso excepcional y que no debería de producirse. Es conocido como inyección de código SQL. Aún así, la forma más correcta de hacerlo sería mediante la inserción de parámetros.

Inicialmente, en Java JDBC, deberemos de poner una interrogación en cada sitio donde queramos meter un valor dinámicamente. Después, sustituiremos cada interrogación por un valor mediante el método setXXX del PreparedStatement. Donde XXX será el tipo de valor que queramos insertar: String, int, Date,… Así tendremos setString, setInt, setArray, setByte,…

¿Cómo saber por que interrogación se sustituye el valor? Pues, porque, el primer parámetro del método es el número de interrogación a sustituir (empezando por el 1).

stmt = con.prepareStatement("SELECT nombre, edad, profesion, ciudad FROM Personas WHERE edad > ? AND ciudad = ?");
stmt.setInt(1,25);
stmt.setString(2,"Salamanca");

Código Fuente

Descárgate el código fuente de Consultas SQL con parametros en Java JDBC
Y si te ha gustado nuestro código fuente puedes regalarnos una estrella Star

Vídeos sobre Java

Disfruta también de nuestros artículos sobre Java en formato vídeo. Aprovecha y suscribete a nuestro canal.

Test Java

¿Te atreves a probar tus habilidades y conocimiento en Java con nuestro test?

Test Java
Suscribir
Notificar de
guest
18 Comentarios
Recientes
Anteriores Más votados
Opiniones integradas
Ver todos los comentarios