我尝试使用Spring-jdbc NamedParameterJdbcTemplate在网站上组织搜索功能。
public List<PhoneEntry> searchPhoneEntries(String search, String username) {
String SQL = "select * from entries, users where users.enabled=true " +
"and entries.username=:username " +
"and concat(secondName, firstName, patronymic, mobile, tel, " +
"address, entries.email) like ('%:search%')";
MapSqlParameterSource params = new MapSqlParameterSource();
params.addValue("username", username);
params.addValue("search", search);
return jdbcTemplate.query(SQL, params, new PhoneEntryMapper());
}
但我得到一个空列表并且没有任何错误。
使用简单连接时:
"...like '%" + search + "%'";
它工作正常,但据我所知它并不安全。
我还尝试添加&#39;%&#39;参数中的符号:
MapSqlParameterSource params = new MapSqlParameterSource();
params.addValue("username", username);
params.addValue("search", "'%" + search + "%'");
return jdbcTemplate.query(SQL, params, new PhoneEntryMapper());
但它也不起作用。
答案 0 :(得分:2)
解决方案是添加不带引号的参数
params.addValue("search", "%" + search + "%");
并在SQL字符串中写入
String sql = "... like :search";
您的第一个方法('%:search%')无效,因为在字符串文字中无法识别命名参数。
第二种方法params.addValue("search", "'%" + search + "%'");不起作用,因为现在引号是类似字符串的一部分,因此要求Mysql查找以引号开头和结尾并包含搜索词的字符串。