Salve ragazzi, sto facendo un piccolo progetto in java all'università (pemetto che mi sono avvicinato da poco a questo linguaggio).
il mio problema è che dovrei fare un "minimo" controllo sugli input per cercare di evitare l'sql injector, leggendo in rete ho capito che dovrei utilizzare i PreparedStatement
codice:
query="select * from persona where nome like ? ";
st=con.prepareStatement(query,ResultSet.TYPE_SCROLL_INSENSITIVE,ResultSet.CONCUR_READ_ONLY);
st.setString(1,"%"+nome+"%");
rs = st.executeQuery();
con questo approccio dovrei risolvere il problema giusto? (anche se non ho ben capito il perchè )

Un'altra cosa, siccome questo codice dovrei inserirlo in un metodo ActionPerformed di un pulsante, mi dà errore in quanto non riconosce PreparedStatement... come posso risolvere?


GRAZIE