StringBuffer sd=new StringBuffer(); sd.append("select count(1) "); sd.append("from CLM_COUNTERPARTY "); sd.append("where id= " +id); Query query = this.getEntityManager().createNativeQuery(sd.toString()); int i= (int) query.getSingleResult();哪里错了

这段代码可能会存在 SQL 注入的问题，因为在拼接 SQL 语句时没有对变量 id 进行合法性校验和防注入处理。

建议使用 PreparedStatement 来预编译 SQL 语句，然后使用参数绑定的方式来传入变量，比如：

String sql = "select count(1) from CLM_COUNTERPARTY where id = ?";
Query query = this.getEntityManager().createNativeQuery(sql);
query.setParameter(1, id);
int i = (int) query.getSingleResult();

这样可以有效避免 SQL 注入的问题。同时，建议对传入的变量进行类型校验和范围校验，避免非法输入导致的异常或错误。

相关问题

StringBuffer sd=new StringBuffer(); sd.append("delete from "+banktable+" where MAIN_ID = "+"'"+id+"'"); this.getEntityManager().remove(sd.toString());

这段代码有一些问题，需要进行修改。

首先，StringBuffer的append方法是用来拼接字符串的，而不是用来执行SQL语句的，因此需要将拼接后的字符串转换为SQL语句并执行。可以使用EntityManager的createNativeQuery方法来创建SQL查询对象，然后调用executeUpdate方法执行SQL语句。修改后的代码如下：

String sql = "DELETE FROM " + banktable + " WHERE MAIN_ID = '" + id + "'";
Query query = this.getEntityManager().createNativeQuery(sql);
int rowsDeleted = query.executeUpdate();

其中，sql变量为拼接后的SQL语句，Query对象用来执行SQL语句，executeUpdate方法返回删除的行数。

另外，执行删除操作时，需要注意事务的提交。完整的代码如下：

String sql = "DELETE FROM " + banktable + " WHERE MAIN_ID = '" + id + "'";
EntityTransaction transaction = this.getEntityManager().getTransaction();
transaction.begin();
Query query = this.getEntityManager().createNativeQuery(sql);
int rowsDeleted = query.executeUpdate();
transaction.commit();

其中，EntityTransaction对象用来管理事务的提交和回滚。

StringBuffer stringBuffer = new StringBuffer(); for (Map.Entry<String, String> entry : hashMap.entrySet()) { String a = " , "; String sql1 = " ADD " + entry.getKey() + " VARCHAR(255) comment " + "'" + entry.getValue() + "'" + a ; stringBuffer.append(sql1); }怎么判断如果当前sql1是最后一个就不加a

你可以在循环内部增加一个判断，当当前元素是最后一个元素的时候，就不加上"a"。

可以使用Map.Entry中的方法判断当前entry是不是最后一个元素，可以使用Map的size()方法得到Map的大小，然后在循环内部使用一个计数器变量，判断当前元素是否为最后一个元素。代码如下：

StringBuffer stringBuffer = new StringBuffer();
int count = 0;
for (Map.Entry<String, String> entry : hashMap.entrySet()) {
    String a = " , ";
    String sql1 = "  ADD  " + entry.getKey() + "  VARCHAR(255)  comment   " + "'" + entry.getValue() + "'";
    if (++count == hashMap.size()) {
        // 当前元素是最后一个元素，不加上"a"
        stringBuffer.append(sql1);
    } else {
        stringBuffer.append(sql1).append(a);
    }
}

在这个例子中，我们使用一个计数器变量count来记录当前循环到第几个元素。当count等于Map的大小时，就说明当前元素是最后一个元素，就不加上"a"。否则，就在sql1后面加上"a"。最后，我们使用StringBuffer的append()方法将所有sql1拼接起来。