在EJB查询中,建议使用setParameters()代替串接字符串参数,以避免SQL注入攻击。
我的问题是:如何在SQL更新语句中使用' set '设置参数:
String basicQuery = "update some table set somecolumn = ':para'";
Query query = em.createQuery(basicQuery);
query.setParameters("para", someString);
运行时报怨无法定位参数"para"。
去掉:para
周围的单引号