Discussion :

[langar]

Bonjour,

Je veux faire une requête avec like xx%, sauf que sa marche pas (like :supName%), quelle syntaxe pour avoir les enregistrements commançant par le paramètre ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
public List<Supervisor> searchForCriteria(String supName) {
 
	String[] names = { "supName"};
	Object[] values = { supName};
 
 
	String request  = "FROM " + Supervisor.class.getName()+  " WHERE  SUP_NAME LIKE :supName";	
 
	return getHibernateTemplate().findByNamedParam(request, names, values);
}

D'avance merci

[Ivelios]

Je me suis posé la même question il y a quelque jour
La solution :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
String str= "commence";
 String request = "SELECT * FROM table WHERE SUP_NAME like '"+str+"%' ;");

[remika]

Alors par contre ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
String request = "SELECT * FROM table WHERE SUP_NAME like '"+str+"%' ;");

C'est à bannir complétement (pour des applis plus ou moins sensibles) pour cause de possibilités de SQL Injection.
Il vaut mieux utiliser des PreparedStatement

[langar]

J'ai essayé comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
String request  = "FROM " + Supervisor.class.getName()+  " WHERE  SUP_NAME LIKE '" + ":supName" + "%'";

Mais j'ai l'erreur :
java.lang.IllegalArgumentException: Parameter supName does not exist as a named parameter in [FROM com.bv.fluides.mapping.entities.Supervisor WHERE SUP_NAME LIKE ':supName%']

[remika]

apparemment :supName est un paramètre, c'est plutôt dans la String que tu passes après qu'il faut ajouter le %
un truc du style :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
setParameter("supName",taString+"%");

et les simples quotes "à la main" pas sûr que ce soit bon...

[langar]

supName est l'attribut de la classe Supervisor

[Ivelios]

les simples quotes "à la main" pas sûr que ce soit bon...

Pour les simples quotes, on m'a appris qu'il fallait les mettre quand il y avait une chaines de caractères.

Pourquoi dis tu que ce n'est pas forcement bon ?

[remika]

en gros ce qui n'est pas terrible c'est de construire la requête à la main, ou du moins la partie où on ajoute les paramètres

en JDBC basique on utilise pour ça les PreparedStatement avec des ? à la place des paramètres, et des setInt setString etc... en fonction du type
quand on utilise une API faire les requêtes, c'est un peu le même principe on ne construit pas à la main non plus la partie où on passe les paramètres
dans ces deux cas ce n'est pas toi qui te charges d'ajouter les quotes, c'est fait automatiquement en gros

si tu fais ça à la main justement avec les simples quotes ta fonction ne pourra pas prendre en compte toutes les chaînes et tu t'exposes à de l'injection SQL

exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
String s = "SELECT * FROM users WHERE login= ' "+loginString+" ' ";

(j'ai mis des espaces avant et après les simples quotes uniquement pour plus de clareté)

si loginString = '[nimportequoi] la simplequote ferme la chaîne ouverte et ping ça plante
pire avec loginString du style ' OR 1=1 ' la requête peut toujours retourner des résultats alors que ce n'est pas ce qu'on veut

pour plus d'infos sur les PreparedStatement : la FAQ