sql 用StringBuilder拼接
有一张表user,字段 id,name,需要搜索功能
StringBuilder sb=new StringBuilder();
if(id!=null){
sb.append("from user u where u.id="+id);
if(!"".equals(name.trim())){
sb.append("and name="+name);
}
}
想问一下,有什么比较好的方法对应这种不定字段的查询, 这种查询不能防止sql脚本注入啊
[解决办法]
楼主不会用"?"占位符代替吗.
