Uso de comodines "me gusta" en la declaración preparada

176

Estoy usando declaraciones preparadas para ejecutar consultas de bases de datos mysql. Y quiero implementar una funcionalidad de búsqueda basada en una especie de palabra clave.

Para eso necesito usar LIKEpalabras clave, eso lo sé. Y también he usado declaraciones preparadas antes, pero no sé cómo usarlo LIKEporque, desde el siguiente código, ¿dónde agregaría el 'keyword%'?

¿Puedo usarlo directamente en el pstmt.setString(1, notes)as (1, notes+"%")o algo así? Veo muchas publicaciones sobre esto en la web, pero no hay una buena respuesta en ningún lado.

PreparedStatement pstmt = con.prepareStatement(
      "SELECT * FROM analysis WHERE notes like ?");
pstmt.setString(1, notes);
ResultSet rs = pstmt.executeQuery();

— ssn
fuente

281

Debe establecerlo en el valor en sí, no en la cadena SQL de la declaración preparada.

Entonces, esto debería hacer para una coincidencia de prefijo:

notes = notes
    .replace("!", "!!")
    .replace("%", "!%")
    .replace("_", "!_")
    .replace("[", "![");
PreparedStatement pstmt = con.prepareStatement(
        "SELECT * FROM analysis WHERE notes LIKE ? ESCAPE '!'");
pstmt.setString(1, notes + "%");

o una coincidencia de sufijo:

pstmt.setString(1, "%" + notes);

o una coincidencia global:

pstmt.setString(1, "%" + notes + "%");

— BalusC
fuente

18

+1 El OP podría "configurarlo" en el SQL, como por ... LIKE '%' || ? || '%'o similar, pero eso es mucho menos flexible.

— Pilcrow

¿Cómo lo hago con el modo SENSIBLE NO EN CASO? :)

— Alpha Gabriel V. Timbol

2

Todavía no se distingue entre mayúsculas y minúsculas WHERE UPPER(?) LIKE UPPER(?)cuando se usapstmt.setString(2, "%" + notes + "%")

— Zig

1

@Alain: Gracias. Me pregunto si esto se aplica a todos los RDBMS que el mundo conoce. ¿Tal vez '%' || ? || '%'como se menciona en el primer comentario fue mejor, después de todo? No tengo la oportunidad de experimentar en este momento.

— BalusC

2

@BalusC esto se aplica a MSSQL, Postgres y MySQL en mis pruebas. La cadena que se convierte en un parámetro se interpreta como una combinación de datos e instrucciones de control. La concatenación SQL ocurre antes de que se interprete y preserva la vulnerabilidad. El IEEE Center for Secure Design dice que separe estrictamente los datos y las instrucciones de control, y nunca procese las instrucciones de control recibidas de fuentes no confiables .

— Alain O'Dea

28

Codifícalo así:

PreparedStatement pstmt = con.prepareStatement(
    "SELECT * FROM analysis WHERE notes like ?");
pstmt.setString(1, notes + "%");`

Asegúrese de NO incluir las citas '' como se muestra a continuación, ya que causarán una excepción.

pstmt.setString(1,"'%"+ notes + "%'");

— El lobo de la boda
fuente

1

Aunque parece que alguien no se encontrará con esta suposición, en realidad es muy válida, especialmente cuando se trabaja con Oracle. Gracias por señalar!

— pide el

5

podemos hacer esto de manera simple, usando la función CONCATE SQL.

PreparedStatement pstmt = con.prepareStatement(
      "SELECT * FROM analysis WHERE notes like CONCAT( '%',?,'%')";
pstmt.setString(1, notes);
ResultSet rs = pstmt.executeQuery();

Este es un trabajo perfecto para mi caso.

— Basharat Ali
fuente

4

PreparedStatement ps = cn.prepareStatement("Select * from Users where User_FirstName LIKE ?");
ps.setString(1, name + '%');

Probar esto.

— Faiz
fuente

1

String fname = "Sam\u0025";

PreparedStatement ps= conn.prepareStatement("SELECT * FROM Users WHERE User_FirstName LIKE ? ");

ps.setString(1, fname);

— Ram Kumar
fuente

2

¿Podría elaborar la respuesta en lugar de simplemente dar la respuesta? Ver: stackoverflow.com/help/how-to-answer

— Edwin

-13

String query="select * from test1 where "+selected+" like '%"+SelectedStr+"%';";


PreparedStatement preparedStatement=con.prepareStatement(query);


// where seleced and SelectedStr are String Variables in my program

— mahesh dhote
fuente

no es seguro, utilice amablemente la declaración preparada parametrizada.

— Durgesh Kumar el