JDBC模糊查询参数的注入的注意点

本文转载自查看原文 2016-12-11 11:46 1352 JDBC、java、数据库/ JDBC

笔者刚开始是这样写sql语句的
String sql="SELECT * FROM bookBasicInfo,bookTypeInfo WHERE
   bookBasicInfo.BelongType=bookTypeInfo.BookTypeID
       AND bookBasicInfo.bookName like %?%";
采用参数注入
ps.setString(1, bookName);
但是在执行的过程中，java跑出如下异常
java.sql.SQLException: ORA-00911: 无效字符

所以，对于这样的模糊查询的注入与一般的参数注入有很大的不同
于是，笔者改成如下形式注入，就成功运行出结果了。
String sql="SELECT * FROM bookBasicInfo,bookTypeInfo WHERE
   bookBasicInfo.BelongType=bookTypeInfo.BookTypeID
       AND bookBasicInfo.bookName like ?";
ps.setString(1, "%"+bookName+"%");

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 JDBC模糊查询的4种方式 JDBC 查询的三大参数 SQL 参数化模糊查询 sql模糊查询，以及sql注入问题 asp.net 参数化的模糊查询 SQL 查询 group by 的使用注意点 java mysql prepareStatement模糊查询like使用注意使用jdbc拼接条件查询语句时如何防止sql注入 Oracle函数中将参数放在模糊查询中 Sqlite 参数化模糊查询解决方案