を逃れるために、私は現在、このような(JDBCを使用して)、クエリと私のデータベースを検索しています:それは同様にSQLインジェクションが可能になりますのでは、MySQLを使用して検索:どのようにワイルドカード
今"... AND LCASE(Items.Name) LIKE '%" + searchString.toLowerCase() + "%';"
、これは、明らかに非常に悪いです%や_のようなワイルドカード記号を挿入します。
私の質問は、searchStringにこれらの文字が含まれていても、文字通り扱われるようにするにはどうすればよいですか?
おそらくEscapeProcessorまたは独自のカスタムクラスを使用してエスケープする必要があります(http://en.wikipedia.org/wiki/Escape_character)。 – Eugene