sql 用StringBuilder拼接
有一张表user,字段 id,name，需要搜索功能

StringBuilder sb=new StringBuilder();

if(id!=null){
sb.append("from user u where u.id="+id);
if(!"".equals(name.trim())){

sb.append("and name="+name);

}


}


想问一下，有什么比较好的方法对应这种不定字段的查询， 这种查询不能防止sql脚本注入啊
[解决办法]
楼主不会用"?"占位符代替吗.