Używanie znaku wieloznacznego „like” w przygotowanej instrukcji

176

Do wykonywania zapytań do bazy danych mysql używam przygotowanych instrukcji. Chcę wdrożyć funkcję wyszukiwania opartą na pewnego rodzaju słowach kluczowych.

W tym celu muszę użyć LIKEsłowa kluczowego, tyle wiem. I już wcześniej korzystałem z przygotowanych instrukcji, ale nie wiem, jak tego użyć, LIKEponieważ z poniższego kodu gdzie miałbym dodać 'keyword%'?

Czy mogę go bezpośrednio użyć w pstmt.setString(1, notes)as (1, notes+"%")lub coś takiego. Widzę wiele postów na ten temat w Internecie, ale nigdzie nie ma dobrej odpowiedzi.

PreparedStatement pstmt = con.prepareStatement(
      "SELECT * FROM analysis WHERE notes like ?");
pstmt.setString(1, notes);
ResultSet rs = pstmt.executeQuery();
java mysql jdbc prepared-statement ssn
źródło

Odpowiedzi:

281

Musisz ustawić go w samej wartości, a nie w przygotowanym ciągu SQL instrukcji.

Tak więc powinno to wystarczyć dla dopasowania przedrostka:

notes = notes
    .replace("!", "!!")
    .replace("%", "!%")
    .replace("_", "!_")
    .replace("[", "![");
PreparedStatement pstmt = con.prepareStatement(
        "SELECT * FROM analysis WHERE notes LIKE ? ESCAPE '!'");
pstmt.setString(1, notes + "%");

lub dopasowanie sufiksu:

pstmt.setString(1, "%" + notes);

lub mecz globalny:

pstmt.setString(1, "%" + notes + "%");
BalusC
źródło
18
+1 OP może „ustawić” to w SQL - jak przez ... LIKE '%' || ? || '%'lub podobnie - ale to jest znacznie mniej elastyczne.
pilcrow
jak to zrobić w trybie BEZ LITER WRAŻLIWYCH? :)
Alpha Gabriel V. Timbol
2
Bez rozróżniania wielkości liter można nadal używać WHERE UPPER(?) LIKE UPPER(?)podczas korzystaniapstmt.setString(2, "%" + notes + "%")
Zig
1
@Alain: Dziękuję. Zastanawiam się tylko, czy dotyczy to wszystkich RDBMS, których świat jest świadomy? Może '%' || ? || '%'jak wspomniano w 1 komentarzu, mimo wszystko było lepiej? Nie mam teraz okazji eksperymentować.
BalusC
2
@BalusC dotyczy to MSSQL, Postgres i MySQL w moich testach. Ciąg znaków przekształcony w parametr jest sam w sobie interpretowany jako połączenie danych i instrukcji sterujących. Konkatenacja SQL ma miejsce, zanim zostanie zinterpretowana i zachowuje lukę. IEEE Center for Secure Design zaleca ściśle oddzielne dane i instrukcje kontrolne oraz nigdy nie przetwarza instrukcji kontrolnych otrzymanych z niezaufanych źródeł .
Alain O'Dea
28

Zakoduj to w ten sposób:

PreparedStatement pstmt = con.prepareStatement(
    "SELECT * FROM analysis WHERE notes like ?");
pstmt.setString(1, notes + "%");`

Upewnij się, że NIE WIESZ cudzysłowów '' jak poniżej, ponieważ spowodują one wyjątek.

pstmt.setString(1,"'%"+ notes + "%'");
Weselny Wilk
źródło
1
Chociaż wydaje się, że ktoś nie wpadnie na to założenie, w rzeczywistości jest to bardzo ważne, zwłaszcza podczas pracy z Oracle. Dzięki za wskazanie!
asgs
5

możemy to w prosty sposób zrobić, używając funkcji CONCATE SQL.

PreparedStatement pstmt = con.prepareStatement(
      "SELECT * FROM analysis WHERE notes like CONCAT( '%',?,'%')";
pstmt.setString(1, notes);
ResultSet rs = pstmt.executeQuery();

to działa idealnie w moim przypadku.

Basharat Ali
źródło
4 
PreparedStatement ps = cn.prepareStatement("Select * from Users where User_FirstName LIKE ?");
ps.setString(1, name + '%');

Wypróbuj to.

Faiz
źródło
1 
String fname = "Sam\u0025";

PreparedStatement ps= conn.prepareStatement("SELECT * FROM Users WHERE User_FirstName LIKE ? ");

ps.setString(1, fname);
Ram Kumar
źródło
2
Czy mógłbyś raczej rozwinąć odpowiedź, niż tylko udzielić odpowiedzi? Zobacz: stackoverflow.com/help/how-to-answer
Edwin
-13 
String query="select * from test1 where "+selected+" like '%"+SelectedStr+"%';";


PreparedStatement preparedStatement=con.prepareStatement(query);


// where seleced and SelectedStr are String Variables in my program
mahesh dhote
źródło
jest niebezpieczna, prosimy o użycie sparametryzowanego przygotowanego oświadczenia.
Durgesh Kumar