在 Java 项目中,使用 JDBC 连接数据库查询数据时,往往会使用动态 SQL 语句进行查询,这样可以有效防止 SQL 注入攻击。
比如一般的使用方式如下:
// 创建数据库连接...
// 编写 SQL 语句
String sql = "SELECT * FROM provider WHERE p_name = ?";
// 创建预编译 statement
PreparedStatement statement = conn.prepareStatement(sql);
// 占位符赋值(按顺序给第1、2个?号赋值)
statement.setObject(1, "美宜佳");
// 执行查询语句,获取结果集
ResultSet resultSet = statement.executeQuery();
// 结果集解析...
但是当查询条件为模糊查询时,为啥需要使用 concat 函数来拼接呢?如下
String sql = "SELECT * FROM provider WHERE p_name LIKE CONCAT('%',?,'%')";
首先看一下如果不使用 concat 拼接,查询结果会是什么
直接抛异常了,可以看到,实际执行 SQL 语句时,条件似乎变成了 '%'条件值'%'(%被添加了单引号)原因暂时还没弄清楚。
使用 concat 函数拼接后再查询,成功获取到结果集