Dobry den, dekuji za upozorneni na SQL injection. V tomto pripade se jedna o interni query, kdy uzivatel nema moznost parametr mid primo ovlivnit. Proto jsem pro jednoduchost zvolil prostou konkatenaci stringu.
Dusan Dne 19. ledna 2013 23:01 Jiří Chaloupka <[email protected]> napsal(a): > Ahoj, > pravda, v uvedeném případě asi na nic, používám ho spíše ze zvyku všude > tam, kde je předpoklad dalšího skládání stringů - tam se využije, zde se > stringy neskládají. > > Jirka > > 2013/1/16 msk.conf <[email protected]> > > Mozem sa opatrne opytat, k comu je ten StringBuffer? >> >> Dusan >> >> >> StringBuffer queryS = new StringBuffer(); >>> queryS.append("select a from pfa_audit a where a.mid = :value "); >>> Query query = entityManager.createQuery(queryS.toString()); >>> query.setParameter("value", valueint); >>> return query.getResultList(); >>> >> >> >
