Query no Hibernate com a expressão like '%?%'

Olá a todos… :cool:

Estou com um problema em uma consulta ao banco.
Estou utilizando Query no hibernate 2 para fazer uma consuta com Positional Parameter (como no PreparedStatement do JDBC ‘?’).
Os meus problemas iniciam quando tenho que utilizar a a expressão like ‘%?%’ como no exemplo:

select tabela.nome from tabela as tabela where tabela.nome like '%?%'

Ocorre o erro:

 net.sf.hibernate.exception.GenericJDBCException: Could not execute query
	at net.sf.hibernate.exception.ErrorCodeConverter.handledNonSpecificException(ErrorCodeConverter.java:90)
	at net.sf.hibernate.exception.ErrorCodeConverter.convert(ErrorCodeConverter.java:79)
	at net.sf.hibernate.exception.JDBCExceptionHelper.convert(JDBCExceptionHelper.java:29)
	at net.sf.hibernate.impl.SessionImpl.convert(SessionImpl.java:4131)
	at net.sf.hibernate.impl.SessionImpl.find(SessionImpl.java:1557)
	at net.sf.hibernate.impl.QueryImpl.list(QueryImpl.java:49)
	at com.nexxera.pagamento.persistence.facade.pagamento.PagamentoFacadeImpl.montarObjetoQueryListarPagamentos(PagamentoFacadeImpl.java:855)
	at com.nexxera.pagamento.persistence.facade.pagamento.PagamentoFacadeImpl.listarPagamentos(PagamentoFacadeImpl.java:425)
	at com.nexxera.pagamento.persistence.facade.pagamento.TestDbUnitPagamentoFacadeImplTeste2.listarPagamentosComFavorecido(TestDbUnitPagamentoFacadeImplTeste2.java:297)
	at com.nexxera.pagamento.persistence.facade.pagamento.TestDbUnitPagamentoFacadeImplTeste2.testListarPagamentosComPagador(TestDbUnitPagamentoFacadeImplTeste2.java:122)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
	at java.lang.reflect.Method.invoke(Method.java:585)
	at junit.framework.TestCase.runTest(TestCase.java:154)
	at junit.framework.TestCase.runBare(TestCase.java:127)
	at junit.framework.TestResult$1.protect(TestResult.java:106)
	at junit.framework.TestResult.runProtected(TestResult.java:124)
	at junit.framework.TestResult.run(TestResult.java:109)
	at junit.framework.TestCase.run(TestCase.java:118)
	at org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.runTests(RemoteTestRunner.java:474)
	at org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.run(RemoteTestRunner.java:342)
	at org.eclipse.jdt.internal.junit.runner.RemoteTestRunner.main(RemoteTestRunner.java:194)
Caused by: java.sql.SQLException: ORA-00911: invalid character

	at oracle.jdbc.dbaccess.DBError.throwSqlException(DBError.java:134)
	at oracle.jdbc.ttc7.TTIoer.processError(TTIoer.java:289)
	at oracle.jdbc.ttc7.Oall7.receive(Oall7.java:579)
	at oracle.jdbc.ttc7.TTC7Protocol.doOall7(TTC7Protocol.java:1894)
	at oracle.jdbc.ttc7.TTC7Protocol.parseExecuteDescribe(TTC7Protocol.java:831)
	at oracle.jdbc.driver.OracleStatement.doExecuteQuery(OracleStatement.java:2496)
	at oracle.jdbc.driver.OracleStatement.doExecuteWithTimeout(OracleStatement.java:2840)
	at oracle.jdbc.driver.OraclePreparedStatement.executeUpdate(OraclePreparedStatement.java:608)
	at oracle.jdbc.driver.OraclePreparedStatement.executeQuery(OraclePreparedStatement.java:536)
	at net.sf.hibernate.impl.BatcherImpl.getResultSet(BatcherImpl.java:89)
	at net.sf.hibernate.loader.Loader.getResultSet(Loader.java:880)
	at net.sf.hibernate.loader.Loader.doQuery(Loader.java:273)
	at net.sf.hibernate.loader.Loader.doQueryAndInitializeNonLazyCollections(Loader.java:138)
	at net.sf.hibernate.loader.Loader.doList(Loader.java:1063)
	at net.sf.hibernate.loader.Loader.list(Loader.java:1054)
	at net.sf.hibernate.hql.QueryTranslator.list(QueryTranslator.java:854)
	at net.sf.hibernate.impl.SessionImpl.find(SessionImpl.java:1554)
	... 18 more

Não estou utilizando Criteria por que o mesmo não suporta left alter join, o qual é requerido na complexidade da consulta.
Alguém tem alguma idéia de como posso fazer essa consulta com Query do Hibernate 2 de forma que mesma funcione?

Obrigado pela ajuda! :wink:

Olá, pode ser só a sua transcrição, mas tente sem o as na definição do alias.

Spier

Descobri o problema…

Quando eu seto o Positional Parameter, ele seta como uma String, então na montagem da Query, acaba ficando algo bizarro como … where table.name like %‘nome’%
Isto está fazendo com que o oracle se perca dando caracter inválido…
Uma alternativa que encontrei foi concatenar os % com o Positional Parameter, mas isso não resolve o meu problema, pois o sistema fica vulnerável a SQL Injections…
Alguém tem alguma idéia de como resolver este problema e não permitir SQL Injection no sistema?!

vlz :grin:

Olá, … não sei se concordo com sua preocupação com a possibilidade de permitir “SQL Injections” dessa maneira.
Não vejo como concatenar os % na passagem do argumento abriria esta possibilidade.

Afinal, num PreparedStatment do tipo

“SELECT nome FROM tabela WHERE nome LIKE ?”

o máximo que alguém poderá tentar é submeter um argumento como “%%”, já que a cláusula LIKE está lá, para obter todos dados, mas seria o mesmo que informar “” num stmt como sua primeira tentativa, caso esta funcionasse!

Lembre-se que todo e qualquer caracter especial de sql, como vírgulas, comparadores, aspas, … são tratados (bem, deveriam ser, mas oracle com certeza trata) pelo driver jdbc antes de serem inseridos, o que não permite, por exemplo, para o prep.Stmt acima, algo do tipo

“%%’ and salario > 10000 '”.

Mas, se quiser deixar os % no “Statement”, resta a opção de uma StoredProdeure …

Spier