me explico ...¿Cómo llenar una consulta sql con múltiples parámetros opcionales en PreparedStatement?
Tengo una forma con relleno de la consulta (por ejemplo.):
SELECT *
FROM table
WHERE id=? AND name=? AND sex=? AND year=? AND class=?
pero sólo el "id" es obligatoria, todos los demás parámetros son opcionales. ¿Cómo puedo completar (o volver a crear) la declaración preejecutada para esa consulta?
Tendría que usar varias declaraciones preparadas o simplemente crear una declaración sobre la marcha, verificando qué parámetros tiene.
De esta manera:
String query = "SELECT * FROM table WHERE id=?";
if(nameParameter != null) {
query += " AND name=?"; //don't never ever directly add the value here
}
...
actualización/Advertencia: No añadir directamente los valores de los parámetros de la cadena de consulta pero el uso de PreparedStatement y similares en su lugar. Como se muestra arriba, la cadena de consulta solo debe contener marcadores de posición para los valores (por ejemplo, ?) para evitar ataques de inyección SQL.
Lo que quiero decir es, no hago las siguientes:
if(nameParameter != null) {
//NEVER EVER, REALLY I MEAN IT, DON'T DO THIS
query += " AND name='" + nameParameter + "'";
}
TKS ... Es la forma en que he utilizado, parece que el "más limpia" manera –
Sé que hay marcos cabo allí para la generación de consultas dinámicas, pero esta parece ser la mejor solución para muchos casos. +1 –
pero este enfoque es propenso a los ataques de inyección sql. – aishu