Intentando comenzar con JDBC (usando Jetty + MySQL). No estoy seguro de cómo escapar de los parámetros proporcionados por el usuario en una declaración de SQL. Ejemplo:¿Cómo escapar de los parámetros proporcionados por el usuario con una consulta SQL?
String username = getDangerousValueFromUser();
Statement stmt = conn.createStatement();
stmt.execute("some statement where username = '" + username + "'"));
¿Cómo escapamos de "nombre de usuario" antes de usarlo con una instrucción?
+1. No puede haber otra respuesta. – Thilo
@Thilo: ¿Por qué no? OP preguntó específicamente cómo escapar del parámetro de cadena, no cómo evitar la inyección de SQL. Esta respuesta ni siquiera responde a la pregunta de OP, responde lo que OP supuestamente quiere. Quiero saber lo mismo, y esta respuesta no me ayudó. – lvella
@Ivella: "cómo escapar" es un típico [problema XY] (http://meta.stackexchange.com/questions/66377/what-is-the-xy-problem). Respondiendo a la pregunta * literalmente * no hace nadie un servicio. –