在 EJB 查询中,为了避免 SQL 注入攻击,建议使用 setParameters() 而不是连接字符串参数。
我的问题是:如何使用'SET'在SQL更新语句中的''内设置参数:
String basicQuery = "update some table set somecolumn = ':para'";
Query query = em.createQuery(basicQuery);
query.setParameters("para", someString);
运行时抱怨它找不到参数“para”。任何解决方法表示赞赏。