He estado practicando un poco SQL Inyection con algunos codes que he hecho en la universidad programando con JSP y Servlets y todavia no logro como pasar el login que tengo planteado, apenas estoy familiarizandome con esto asi que pediria colaboracion de los miembros del foro  .

Tengo un servlet donde de antemano se conecta a la BD a travez de un DAO donde tengo un metodo que recibe los datos obtenidos del formulario de login:

public boolean loguinEmpleado(String codigoEmpleado, String password) throws SQLException
    {
        PreparedStatement stmt;
        ResultSet resultado;
        stmt=conexion.prepareStatement("select * from empleado where Codigo_empleado="+codigoEmpleado+" and Password_empleado="+password);
 
        resultado=stmt.executeQuery();
 
        if(resultado.next())
                return true;
        else
            return false;
 
    }

Y en el Servlet controlo el resultado:

if(bd.crearDAOEmpleado().loguinEmpleado(id, password)){
 
     out.write("Entramos");
 
}else{
     out.write("Mal");     
}

Me gustaria saber entonces como pasar el login este, he probado varias formas pero nada que lo consigo.

Salu2

Y si pones como código empleado blabla" or 1=1-- ?

depende del filtrado que le estés haciendo a las variables de entrada ( las que recoges del exterior ). Dado que en ese pedazo de código no lo pones entiendo que las tienes sin filtrar... sino pues echale un vistazo puede que por eso no puedas hacer el bypassing

un saludo ^^

sabes la estructura de la abse de datos??