Comment se protéger contre l'injection SQL lorsque la clause WHERE est construite dynamiquement à partir du formulaire de recherche ?

Avez-vous vu le JDBC NamedParameterJDBCTemplate ?

Vous pouvez faire des choses comme :

String sql = "select count(0) from T_ACTOR where first_name = :first_name";
SqlParameterSource namedParameters = new MapSqlParameterSource("first_name", firstName);
return namedParameterJdbcTemplate.queryForInt(sql, namedParameters);

et créez votre chaîne de requête dynamiquement, puis créez votre SqlParameterSource de même.

Utilisation de la condition If dans la clause where

Afficher le dernier message dans un tableau de messages

Comment effectuer des mises à niveau progressives pour MySQL
Comment écrire correctement des chaînes UTF-8 dans MySQL via l'interface JDBC
Qu'est-ce qu'une valeur aberrante de requête et comment y remédier
Comment surmonter la suppression accidentelle de données dans MySQL et MariaDB