java的PreparedStatement中使用like时的问题

最新推荐文章于 2022-08-19 10:39:27 发布

转载最新推荐文章于 2022-08-19 10:39:27 发布 · 263 阅读

文章标签：

#java

本文详细介绍了如何在Java中利用PreparedStatement正确处理SQL语句中的通配符，防止SQL注入并提升安全性。通过两种解决方法，深入浅出地解释了在实际开发中遇到的问题及解决方案。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

SQL：select * from students where name like '%tommy%';

正常的sql如上，是可以直接执行的，

那放到java的P热怕热的Statement中就应该是：

//同时把tommy改成通配符？

PreparedStatement pstmt1 = conn.prepareStatement("select * from student where name like '%?%'");

pstmt1.setString(1,"tommy");//这里居然不通过

解决方法一：使用拼接字符串

PreparedStatement pstmt1 = conn.prepareStatement("select * from student where name like '%"+tommy+"%'");

解决方法二：灵活变通(其实就是通配符？不能放在''单引号中)

PreparedStatement pstmt1 = conn.prepareStatement("select * from student where name like ?");

pstmt1.setString(1,"%"+"tommy"+"%");

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_33802505

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Java数据库学习之模糊查询（like ）

m0_70960708的博客

10-04

251

第二种方式: 使用占位符，在占位符赋值时进行拼接。

Java学习教程，从入门到精通，JDBC LIKE 子句语法知识点及案例代码（108）

最新发布

qq_45746668的博客

02-01

345

使用JDBC应用程序创建新数据库需要执行以下步骤- 导入包:要求您包含包含数据库编程所需的JDBC类的软件包。通常，使用 import java.sql.* 就足够了。注册 JDBC 驱动程序: 要求您初始化驱动程序，以便您可以打开与数据库的通信通道。建立连接:需要使用 DriverManager.getConnection() 方法来创建一个Connection对象，该对象表示与数据库服务器的物理连接。执行查询:需要使用Statement类型的对象来构建和提交SQL语句，以从满足给定条件的表

参与评论您还未登录，请先登录后发表或查看评论

java mysql模糊查询_Java数据库学习之模糊查询（like ）

weixin_28771365的博客

01-19

1313

Java数据库学习之模糊查询(like )：第一种方式：直接在SQL语句中进行拼接,此时需要注意的是parm在SQL语句中需要用单引号拼接起来，注意前后单引号之间不能空格String sql = "select * from tb_user where uname like '%" + parm + "%'";第二种方式: 使用占位符，在占位符赋值时进行拼接String sql = "select...

PreparedStatement 使用like 模糊查询

Jason分享，共同进步

03-03

772

PreparedStatement 使用like 在使用PreparedStatement进行模糊查询的时候废了一番周折，以前一直都没有注意这个问题。一般情况下我们进行精确查询，sql语句类似：select * from table where name =?，然后调用 PreparedStatement的setString等方法给？指定值。那么模糊查询的时候应该怎么写呢？我首先尝试了：sele...

Java中使用PrepateStatement并且like模糊查询

hanghangde的博客

04-20

780

在使用PreparedStatement进行模糊查询的时候废了一番周折，以前一直都没有注意这个问题。一般情况下我们进行精确查询，sql语句类似：select * from table where name =?，然后调用PreparedStatement的setString等方法给？指定值。那么模糊查询的时候应该怎么写呢？我首先尝试了：select *from customer where nam

Java 用msql LIKE语句模糊查询——prepareStatement LIKE语句

Agly_Charlie的博客

03-04

7422

JAVA jdbc 用LIKE模糊搜索内容——prepareStatement LIKE语句问题： prepareStatement LIKE在mysql中可以输出结果，但是用java写就查找不到结果。public void getYunEventListByKw(String content) { PreparedStatement preStmt = null;

使用PreparedStatement 动态拼装like 条件。

王佳楠的专栏

04-13

1407

在使用java PreparedStatement 时，执行拼装的sql总是报错 1、错误的sql拼装: // 拼装修改记录查询条件 if(changeRecord != null && !"".equals(changeRecord)){ changeRecord = URLDecoder.decode(changeRecord, "utf-8"); whereSql.app

Java JDBC技术：（六）SQL 注入与PreparedStatement 对象的使用-5000字匠心出品

地球村

05-15

597

SQL 注入与PreparedStatement 对象的使用1.什么是 SQL 注入2.SQL 注入案例3.PreparedStatement 对象的使用1.PreparedStatement 特点2.通过 PreparedStatement 对象向表中插入数据4.PreparedStatement 的预编译能力1.什么是预编译1.SQL 语句的执行步骤2.解析过程2.预编译方式1.依赖数据库驱动完成预编译2.依赖数据库服务器完成预编译5.通过 PreparedStatement 对象完成数据的更新6.通过

Java中执行存储过程和函数(web基础学习笔记)

m0_73257876的博客

08-19

1452

如果想要执行存储过程，我们应该使用 CallableStatement 接口。CallableStatement 接口继承自PreparedStatement 接口。所以CallableStatement 接口包含有Statement 接口和PreparedStatement 接口定义的全部方法，但是并不是所有的方法我们都要使用，主要使用的方法有这样几个：执行 SQL 语句，如果第一个结果是 ResultSet 对象，则返回 true；如果第一个结果是更新计数或者没有结果，则返回 false。

PreparedStatement 使用like

Java海洋

07-15

2114

java mysql prepareStatement模糊查询like使用注意

夜的瞳

06-09

1427

原文链接如下：https://www.cnblogs.com/jecyhw/p/4359528.html 今天在使用mysql 的like语句是，发现prepareStatement的like语句和一般的=写法有一样。当要使用prepareStatement的like查询时，按照一般写法，都会写成： String sql = “select * from tablename like ‘%?%’...

JDBC中PreparedStatement中Like后面的参数

java小强

11-13

1203

好久没发博客，因为解决一些技术问题后要做业务开发。欢迎大家访问我的博客来和我交流：http://cuisuqiang.iteye.com/ 可是最近麻烦又来了，在还没有彻底结束上一个之前，领导把我安排到了新的岗位，我那个郁闷啊。由于我们的项目不大，所以刚开始决定时我为了省事想用SSH，可是后来觉得只有Struts2好了，后来的查询等数据库操作我自己写方法不行了嘛！刚才写一个公共

preparedStatement中的like模糊查询

zhuyx808的专栏

07-16

263

sqlStr = "select id,name from 表 where name like ?"; 这种方式对应的ps.setString(1, "%"+"abc"+"%"); 这种方式更为通用，不管对什么样的数据库另外还有种方式sqlStr = "select id,name from 表 where name like '%'+?+'%'";这种方式对应的ps.setString...

关于PreparedStatement中数据库like查询的小问题

02-01

313

数据库:MySQL IDE:eclipse 查询表建立方法如下： CREATE TABLE `student` ( `id` int(10) NOT NULL auto_increment, `name` char(10) default NULL, `sex` char(10) default NULL, `age` int(10) default NULL, `pass...

PreparedStatement字符串拼接

dicmo的专栏

11-18

1377

这在里求JDBC中PreparedStatement的实现，我想不会是这样来拼接。 [code="java"] package com.dicmo.test; import java.util.ArrayList; import java.util.List; public class PreparedStatement{ private String sql; ...

SQL中LIKE '%' 与 PreparedStatement的占位符 ? 使用方法

LiQiyao的博客

04-27

6268

LIKE name='%xxx%'是SQL提供的一种模糊查询方式，用%号代替任意字符。 PreparedStatement是Java提供的一种包含预处理的数据库连接查询方式，这种方式很方便，可以通过如下代码做查询：PreparedStatement pstm = connection.prepareStatement("SELECT * FROM t1 WHERE name=?");问号就是占位

java sql语句中写like 怎么加

06-10

在Java中，如果要在SQL语句中使用LIKE语句，可以使用占位符（placeholder）来代替LIKE语句中的搜索字符串，然后通过PreparedStatement对象的setString()方法来设置占位符的值。具体的代码如下所示： ``` String searchStr = "apple"; String sql = "SELECT * FROM fruits WHERE name LIKE ?"; PreparedStatement ps = connection.prepareStatement(sql); ps.setString(1, "%" + searchStr + "%"); // 设置占位符的值，加上通配符% ResultSet rs = ps.executeQuery(); ``` 在上述代码中，使用了占位符“？”来代替LIKE语句中的搜索字符串，然后通过setString()方法来设置占位符的值，并在搜索字符串两侧加上了“%”通配符，表示任意字符的匹配。最后执行查询并返回结果集。需要注意的是，在使用LIKE语句进行模糊匹配时，通配符“%”表示任意字符的匹配，可以在搜索字符串的前后任意位置使用。