Как использовать MySQL как оператор в JDBC?

Question

В моем коде есть следующий синтаксис, но он не работает, когда я пытаюсь использовать оператор LIKE в JDBC. Это прекрасно работает, когда оно просто равно:

ResultSet resultSet = statement.executeQuery("SELECT * 
                                                FROM drawings 
                                               WHERE name = '"+ DT +"'");

Но если я хочу использовать оператор LIKE для поиска в качестве подстановочного знака, я получаю сообщение об ошибке, в котором говорится, что «%» не является допустимым символом. Как правильно использовать оператор LIKE?

Answer 1

Из комментариев:

query=("SELECT * FROM drawings WHERE name LIKE '"%DT%"'");

Не компилируется.Если предположить, что DT является переменной, то она должна выглядеть как

query = "SELECT * FROM drawings WHERE name LIKE '%" + DT + "%'";

(обратите внимание на подсветку синтаксиса, % должна быть частью строки SQL!)

Однако объединение управляемых пользователем строковых переменных, подобных этому, в запросе SQL открывает двери в ширину для успешных SQL-инъекций атак . Узнайте , как использовать PreparedStatement и используйте его вместо этого.

String sql = "SELECT * FROM drawings WHERE name LIKE ?";
// ...
preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, "%" + DT + "%");
resultSet = preparedStatement.executeQuery();
// ...