关于jdbc预编译下模糊查询的写法

本文转载自查看原文 2018-09-09 11:20 774 JDBC

PreparedStatement预编译的SQL可以有效的防止SQL注入，但是有些写法需要值得注意。

Class.forName("com.mysql.jdbc.Driver");
            conn = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/ssm","root","root");
            StringBuffer sql =new StringBuffer("select ID,COMMAND,DESCRIPTION,CONTENT from message where 1=1") ;
            ArrayList<String> args = new ArrayList<String>();
            if(command!=null&&!"".equals(command)){
                sql.append(" and COMMAND=?");
                args.add(command);
            }
            if(description!=null&&!"".equals(description)){
                sql.append(" and DESCRIPTION like concat('%',?,'%')");
                args.add(description);
            }
            PreparedStatement ps = conn.prepareStatement(sql.toString());
            for(int i=0;i<args.size();i++){
                ps.setString(i+1, args.get(i));
            }
            
            ResultSet rs = ps.executeQuery();

最关键的部分在

sql.append(" and DESCRIPTION like concat('%',?,'%')");

使用concat可以有效地拼接字符串

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 [mysql] 模糊查询的几种写法在JDBC中实现SQL语句的模糊查询 Spring Jdbc使用like模糊查询 Python MySQL 使用预编译语句执行参数化查询模糊查询下的分页功能 Mybatis框架的模糊查询（多种写法）、删除、添加（四） Mysql模糊查询like效率，以及更高效的写法 JDBC编程之预编译SQL与防注入式攻击以及PreparedStatement的使用教程 python预编译 MySQL的预编译功能