Jsf aceitando sql?

estou com um sistema de cadastro feito com jsf que ao digitar no campo de busca

alisson % oliveira

ele retorna alisson alves de oliveira,alisson silva de oliveira,etc.

é normal ele aceitar isso? se eu dar um drop table/database ele vai aceitar?
o que vcs acham é um erro no sistema ou é normal?

O caractere % indica que qualquer combinação que exista entre o primeiro e o último elemento informado será aceito.
Isso não significa que se você colocar ali drop table ou select * from users when 1 = 1 ele irá aceitar.
Aliás, provavelmente, não.