Preparare le query tramite concatenazione di stringhe è un ottimo modo per rendere un'applicazione a rischio di sql injection. Se c'è un modo standard, sicuro e altrettanto semplice per fare una certa cosa perché ostinarsi con una soluzione obsoleta e 100% a rischio? Magari il tuo è un semplice esercizietto del menga ma una cosa del genere in ambiente lavorativo è la peggio cosa che si possa fare, in particolare se i parametri della query arrivano dall'esterno (magari non è il tuo caso).
SpringSource Certified Spring Professional | Pivotal Certified Enterprise Integration Specialist
Di questo libro e degli altri (blog personale di recensioni libri) | NO M.P. TECNICI
Quoto e aggiungo: in particolare quando i parametri sono delle date, visto che ciascun DBMS utilizza un modo diverso (a volte proprio "tutto suo") di accettare la data in formato stringa.Originariamente inviata da Alex'87
Usare il LIKE con le date, poi, come ha detto andbin è assolutamente privo di senso, visto che l'operatore LIKE serve a ricercare un determinato pattern all'interno di un campo... quale sia il senso di usare un "pattern" con le date rimane un mistero ai più: se c'è un campo data, le ricerche sensate sono:
1) Uguaglianza di una data con un determinato valore
2) Cercare date maggiori (o uguali) di un determinato valore
3) Cercare date minori (o uguali) di un determinato valore
4) Cercare date in un intervallo di valori
Che senso ha cercare date "che rispettino un determinato pattern lessicografico" (es: cercare tutte le date che contengono un "20")?
Ciao.
"Perchè spendere anche solo 5 dollari per un S.O., quando posso averne uno gratis e spendere quei 5 dollari per 5 bottiglie di birra?" [Jon "maddog" Hall]
Fatti non foste a viver come bruti, ma per seguir virtute e canoscenza
Permessi di invio
Rispondi quotando