【转】Hibernate HQL 占位符【转】
2015-09-24 15:33
218 查看
在HQL中有两种方法实现使用参数占用符
1、使用?占位符
使用?设置参数占位符,之后通过setString()和setInteger()等方法为其赋值。如:
Query query = session.createQuery("from Role where age<?");
query.setInteger(0,32);
2、使用自定义变量名称
使用名称作为占位符不用依照参数的顺序来设置参数,并且使用HQL具有更好的可读性。如:
Query query = session.createQuery("from Role where age<:[b]age");
query.setInteger("age",32);
使用名称作为参数占位符时在HQL语句中使用“:”后跟参数名,之后即可在setXXX()方法中直接根据参数名称来设置参数值。
[/b]
但我们决不能在HQL中又出现?,又出现变量占位符,即
Query query=session.createQuery("from[b]Role r where r.age<? and r.age>:age);[/b]
这样,在设置参数时候,会出现异常如下:
cannot define positional parameter after any named parameters have been defined [from Search.filter.[b]Role
r where r.age<:age and r.age>?]
[/b]
总结:
1.层次清晰,增加代码可读性。
2.使用拼接方法系统将你的HQL语句转换成SQL语句才能执行,用占位符可以预先编译,提高执行效率
3.安全性考虑,防止一些注入性攻击, 举个例子如果你的code变量从jsp页面获得,是客户手动输入的,那么客户如果恶意的输入一些特殊的字符和添加,如 +[b]sernameand 1=1 and password='1'" 那么你的HQL解析成SQL就变成 select * from Role r where username =admin and 1=1 password='1',如果这是用户名或者密码,
这样可能就能非法登录系统 ,或者获得后台一些数据错误信息的反馈。
采用占位符就会把参数规定一个串,就不会出现这种问题。[/b]
1、使用?占位符
使用?设置参数占位符,之后通过setString()和setInteger()等方法为其赋值。如:
Query query = session.createQuery("from Role where age<?");
query.setInteger(0,32);
2、使用自定义变量名称
使用名称作为占位符不用依照参数的顺序来设置参数,并且使用HQL具有更好的可读性。如:
Query query = session.createQuery("from Role where age<:[b]age");
query.setInteger("age",32);
使用名称作为参数占位符时在HQL语句中使用“:”后跟参数名,之后即可在setXXX()方法中直接根据参数名称来设置参数值。
[/b]
但我们决不能在HQL中又出现?,又出现变量占位符,即
Query query=session.createQuery("from[b]Role r where r.age<? and r.age>:age);[/b]
这样,在设置参数时候,会出现异常如下:
cannot define positional parameter after any named parameters have been defined [from Search.filter.[b]Role
r where r.age<:age and r.age>?]
[/b]
总结:
1.层次清晰,增加代码可读性。
2.使用拼接方法系统将你的HQL语句转换成SQL语句才能执行,用占位符可以预先编译,提高执行效率
3.安全性考虑,防止一些注入性攻击, 举个例子如果你的code变量从jsp页面获得,是客户手动输入的,那么客户如果恶意的输入一些特殊的字符和添加,如 +[b]sernameand 1=1 and password='1'" 那么你的HQL解析成SQL就变成 select * from Role r where username =admin and 1=1 password='1',如果这是用户名或者密码,
这样可能就能非法登录系统 ,或者获得后台一些数据错误信息的反馈。
采用占位符就会把参数规定一个串,就不会出现这种问题。[/b]
相关文章推荐
- 设置tomcat的运行内存
- Linq技术1
- 3*n/2 - 2
- bootstrap modal 弹窗 数据清除
- 又十个超级有用的PHP代码片段
- 5、链接文件
- Android webView 使用postUrl注意事项
- 如何做好大型数据中心的运维
- Maven Web项目Servlet开发之登陆界面
- TP-登录
- uva 1637 - Double Patience
- 协程介绍
- mysql case when then end使用方式
- RIP,OSPF,EIGRP
- adb的问题“No command ‘adb’ found, did you mean:”
- linux系统tomcat启动正常访问不到主页面
- Mybatis传多个参数(三种解决方案)
- 【win7】错误2203的解决方法
- 在ssh项目中的applicationContext.xml中配置数据源(c3p0)(连接池)
- 使用NPOI 汇出EXCEL,设置样式,字体等