Arquivo Discussoes de Programacao e Tecnologia 
Pessoal à um tempo atrás estava escrevendo um código em java que necessitaria uma pesquisa com “like ‘algum texto’%”
O sendo que o prepared statement utiliza “?” para encontrar os campos a serem setados, tentei fazer algo assim:
"select ... like ?%;"
porém isso não funcionou, fiz uma gambis, concatenando a variavel que era passada por parâmetro à “%”, funcionou, mas isso da brecha para SQL injection.
Como eu faço uma consulta com “%” sem esse problema?
Obrigado pela ajuda!
O jeito certo é concatenar % a variavel com o valor de pesquisa mesmo.
Algo como:
String sql = "SELECT * FROM tabela WHERE campo LIKE ? "
//outras coisas
ps.setString(1, '%' + minhaVariavel + '%');
Isso não abre brecha pra sql injection, pois a concatenação é com um valor constante e ele sempre será entendido como um valor pela query.
e aí, beleza?
tenta assim:
public ResultSet getResultSet(String nome) throws SQLException {
String sql = "select * from empresa where nome like '%" + nome
+ "%'order by prioridade";
PreparedStatement stmt = this.connection.prepareStatement(sql);
ResultSet rs = stmt.executeQuery();
return rs;
}
@SuppressWarnings("unchecked")
public List<Empresa> buscarPorNome(String nome) {
Criteria query = this.session.createCriteria(Empresa.class).add(
Restrictions.ilike("nome", nome, MatchMode.ANYWHERE));
return query.list();
}