Quote Originariamente inviata da andbin Visualizza il messaggio
Così infatti no, è scorretto. La prima questione però: da dove arriva il valore di campo? Direttamente dal front-end? Allora "per sicurezza" dovrebbe come minimo essere validato.

Considera comunque che una query JPQL la puoi anche comporre tu a runtime ed eseguirla con il EntityManager.

codice:
TypedQuery<Prodotto> query = entityManager.createQuery("SELECT p FROM ........", Prodotto.class);
List<Prodotto> prodotti = query.getResultList();

La query è componibile a runtime.

O in alternativa a questo, usare la Criteria API (un po' più articolata da usare ...).
Grazie: Si può fare anche una Join con una tabella in relazione con l'EntityManager?