hibernate防止sql注入对参数赋值传参数的例子
來源于:https://my.oschina.net/u/1754093/blog/707083
?
1、按參數名稱綁定
在HQL語句中定義命名參數要用”:”開頭,形式如下:?
上 面代碼中用:customername和:customerage分別定義了命名參數customername和customerage,然后用 Query接口的setXXX()方法設定名參數值,setXXX()方法包含兩個參數,分別是命名參數名稱和命名參數實際值。?
2、 按參數位置邦定
在HQL查詢語句中用”?”來定義參數位置,形式如下:?
Query query=session.createQuery(“from User user where user.name=? and user.age =? ”);? query.setString(0,name);? query.setInteger(1,age);?同樣使用setXXX()方法設定綁定參數,只不過這時setXXX()方法的第一個參數代表綁定參數在HQL語句中出現的位置編號(由0開始編號),第二個參數仍然代表參數實際值。?
注:在實際開發中,提倡使用按名稱邦定命名參數,因為這不但可以提供非常好的程序可讀性,而且也提高了程序的易維護性,因為當查詢參數的位置發生改變時,按名稱邦定名參數的方式中是不需要調整程序代碼的。?
3、setParameter()方法
在Hibernate的HQL查詢中可以通過setParameter()方法綁定任意類型的參數,如下代碼:?
String hql=”from User user where user.name=:customername ”;? Query query=session.createQuery(hql);? query.setParameter(“customername”,name,Hibernate.STRING);?如上面代碼所示,setParameter()方法包含三個參數,分別是命名參數名稱,命名參數實際值,以及命名參數映射類型。對于某些參數類型 setParameter()方法可以更具參數值的Java類型,猜測出對應的映射類型,因此這時不需要顯示寫出映射類型,像上面的例子,可以直接這樣 寫:?
query.setParameter(“customername”,name);但是對于一些類型就必須寫明映射類型,比如 java.util.Date類型,因為它會對應Hibernate的多種映射類型,比如Hibernate.DATA或者 Hibernate.TIMESTAMP。
4、setProperties()方法
在Hibernate中可以使用setProperties()方法,將命名參數與一個對象的屬性值綁定在一起,如下程序代碼:?
Customer customer=new Customer();? customer.setName(“pansl”);? customer.setAge(80);? Query query=session.createQuery(“from Customer c where c.name=:name and c.age=:age ”);? query.setProperties(customer);?setProperties()方法會自動將customer對象實例的屬性值匹配到命名參數上,但是要求命名參數名稱必須要與實體對象相應的屬性同名。?
這里還有一個特殊的setEntity()方法,它會把命名參數與一個持久化對象相關聯,如下面代碼所示:?
?
總結
以上是生活随笔為你收集整理的hibernate防止sql注入对参数赋值传参数的例子的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: POJ 1671 第二类斯特林数
- 下一篇: HTML5 Audio/标签Api整理(