【转】Hibernate HQL 占位符【转】

在HQL中有两种方法实现使用参数占用符


1、使用？占位符

使用？设置参数占位符，之后通过setString()和setInteger()等方法为其赋值。如：

Query query = session.createQuery("from Role where age<?");

query.setInteger(0,32);

2、使用自定义变量名称

使用名称作为占位符不用依照参数的顺序来设置参数，并且使用HQL具有更好的可读性。如：



Query query = session.createQuery("from Role where age<:[b]age");



query.setInteger("age",32);

使用名称作为参数占位符时在HQL语句中使用“：”后跟参数名，之后即可在setXXX()方法中直接根据参数名称来设置参数值。

[/b]

但我们决不能在HQL中又出现?，又出现变量占位符，即

Query query=session.createQuery("from[b]Role r where r.age<? and r.age>:age);[/b]

这样，在设置参数时候，会出现异常如下：

cannot define positional parameter after any named parameters have been defined [from Search.filter.[b]Role
r where r.age<:age and r.age>?]

[/b]

总结：



1.层次清晰，增加代码可读性。

2.使用拼接方法系统将你的HQL语句转换成SQL语句才能执行，用占位符可以预先编译，提高执行效率

3.安全性考虑，防止一些注入性攻击， 举个例子如果你的code变量从jsp页面获得，是客户手动输入的，那么客户如果恶意的输入一些特殊的字符和添加,如 +[b]sernameand 1=1 and password='1'" 那么你的HQL解析成SQL就变成 select * from Role r where username =admin and 1=1 password='1'，如果这是用户名或者密码，
这样可能就能非法登录系统 ，或者获得后台一些数据错误信息的反馈。

采用占位符就会把参数规定一个串，就不会出现这种问题。[/b]