hibernate预编译SQL语句中的setParameter和setParameterList

最新推荐文章于 2022-09-29 20:07:07 发布
原创 最新推荐文章于 2022-09-29 20:07:07 发布 · 1.3w 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hibernate占位参数 #setParamterList #预编译sql语句的好处

预编译SQL语句通过占位符避免了字符串拼接带来的复杂性和潜在错误,提高了代码可读性和性能。Hibernate提供了setParameter和setParameterList方法来替换JDBC中的占位参数。其中,setParameterList在处理'in'查询时更为便捷,体现了Hibernate API的良好设计,为开发者提供了更多选择。

使用预编译SQL语句和占位符参数(在jdbc中是?),能够避免因为使用字符串拼接sql语句带来的复杂性。我们先来简单的看下,使用预编译SQL语句的好处。使用String sql = "select * from Student where name=" + name;如果name的值是1或 "aty"或"aty'aty",就会产生下面错误的sql

--ORA-01722 invalid number
select * from student where name=1;

--ORA-00904 invalid identifier
select * from student where name=aty;

--ORA-01756: quoted string not properly terminated
select * from student where name=aty'aty;

在构造sql的时候,使如果用了字符串拼接,就必须考虑数据类型,是否需要加单引号等细节问题,稍微不注意,就会导致错误sql语句。当拼接字符串很多的时候,代码几乎不可读,定位问题也十分困难。这是预编译sql在代码可读性和简单性上的优势。还有就是性能上的优势,可以参考我的另一篇博文:HQL或SQL使用?带来的好处:减少SQL解析时间、降低内存开销、防止SQL注入

 

JDBC提供PreparedStatement.setXXX()来替换占位参数,hibernate对应的是setParameter和setParameterList。

setParametersetParameterList的区别在于,使用in的时候。

Object[] params = new Integer[]{1, 2};

String hqlF = "from Student where id in (?,?)";
Query query = session.createQuery(hqlF);
for (int i = 0; i < params.length; i++)
{
    query.setParameter(i, params[i]);
}

//String hqlS = "from Student where id in :valueList";
String hqlS = "from Student where id in (:valueList)";
Query queryS = session.createQuery(hqlS);     
queryS.setParameterList("valueList", params);

很显然,使用setParameterList代码更简单。这里也赞美下hibernate的API设计,既提供了常规繁琐的做法setParameter,也提供了简洁易用的setParameterList。这种一致性,对于熟悉和不熟悉hibernate的人来说,提供了更多的选择。

Hibernate框架中,根据多个ID进行高效查询方法机制实现
qq_33416416的博客
10-10 260
两种方式本质是开发效率与运行时性能的权衡,实际项目中可混合使用(如Criteria构建主体查询,HQL处理特殊片段)这种方式会生成单条SQL语句,适合中等规模的ID集合(通常建议ID数量控制在1000以内)。提供类型安全的查询构建方式,适合动态条件查询。子句SQL,但通过面向 对象的方式避免SQL拼接风险。
hibernate -- 分页模糊查询中setParameter setParameterList
z69183787的专栏
12-11 5797
在分页模糊查询中碰到setParameter setParameterList这两个方法 setParameter 以前就只会用setParameter(int arg,String str),我用到了from table A  where 1=1 and ... like ?   还可以用另外一种方法: setParameter(String arg0, Object arg1) 但是
hibernate setParameter()
热门推荐
qq_23835497的博客
04-19 1万+
hibernate中对动态参数的绑定提供了丰富的支持。其中参数绑定有两种形式。(1)按参数的名字进行绑定在hql查询语句中定义命名参数,以“ :”开头,形式如下:Query query =session.createQuery(" from Customer as c where c.name =:customerName");上面的HQL语句定义了“customerName”命名参数,接下来调用...
spring hibernatesetParameterList
u011954243的博客
10-29 1234
query.setParameterList(name, (Collection<?>) list); 如果setParammeterList 中的list 为空的话,hibernate 映射会找不到该list 的值。会报注意事项ORA-00936: 缺失表达式。 为什么呢 ? 我们开启sql 打印: select ...... from XXX a where a.sbxh...
hibernate之参数绑定
white__cat的专栏
12-05 573
hibernate之参数绑定 ---------- 我们应该拒绝SQL(或HQL)的拼装,应该永远不要编写这样的代码,有这很严重的安全问题,众所周知的SQL注入。我们可以考虑参数绑定,在hibernate中它有两种方式。 1.具名参数 利用具名参数的例子: [java] view plaincopy Str
在Java的Hibernate框架中使用SQL语句的简单介绍
09-02
在Java的Hibernate框架中,使用SQL语句是一个常见的需求,特别是在处理特定的数据库操作或优化查询性能时。Hibernate,作为SSH(Spring、Struts、Hibernate)三大Web开发框架之一,提供了一种优雅的方式将对象关系...
Hibernate使用中防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动...
Mybatis - 预编译的运用原理
Zong_0915的博客
09-29 7100
首先我们来说下预编译的一个背景:我们知道一条SQL语句到达Mysql之后,Mysql并不是会马上执行它,而是需要经过几个阶段性的动作(细节的可以查看Mysql复习计划(一)- 字符集、文件系统SQL执行流程缓存的检查。解析器解析。优化器解析。执行器执行。那么这几个阶段肯定是需要一定的时间的。而有时候我们一条SQL语句可能需要反复的执行,只不过里面的参数可能不一样,比如where子句中的条件。如果每次都需要经过上面的几个步骤,那么效率就会下降。因此为了解决这种问题,就出现了预编译
hibernate实现动态SQL查询
09-25
本篇文章主要探讨如何利用Hibernate实现动态SQL查询,结合XML配置FREEMARKER模板引擎来生成执行的SQL语句。 一、Hibernate简介 Hibernate作为一款强大的持久层框架,它简化了Java应用程序与数据库之间的交互。...
Hibernate调用配置文件中的sql语句
11-06
本篇将深入探讨如何在Hibernate中调用配置文件中的SQL语句,以此提高代码的可维护性灵活性。 首先,理解Hibernate的核心概念至关重要。Hibernate是一个对象关系映射(ORM)框架,它将Java对象与关系数据库中的...
hibernate 3.2.3 setParameterList bug
junandjun的专栏
03-23 958
最近的项目中使用了hibernate naming parameter list,代码如下 Query query1 = session.createQuery("from OurProduct where createOrgCode in(:createOrgCode) and updateOrgCode in(:createOrgCode1)"); query1.setParameterL
Hibernate之Hql使用预编译的方法的两种方法:/?(二十五)
有 prepare , No out
12-30 5800
Query q = session.createQuery("from Category c where c.id > :min and c.id < :max") .setInteger("min", 2) .setInteger("max", 8); Query q = session.createQuery("from Category c where c.id >
hibernate setParameter()方法提示deprecate(弃用)
与望
12-27 1756
背景当我在用hibernate5.2.x的时候调用setString(),setParameter(),方法是都提示我该方法弃用。public void update() { Session session = HibernateSessionFactory.getSession(); Transaction transaction = session.beginTr
Hibernate named parameter 传参书写方式,同样Hibernate帮我们做了预编译,可以防止sql注入,同时可以一定程度上加快sql执行效率,也利于后期维护
qq_23339149的博客
03-17 1289
1.当传入参数有多个的时候,使用Hibernate的named parameter方式是一种较好的选择,利于后期的维护; 2.实现方式:使用:name 来进行传入参数,使用sqlQuery对象的setParameter方法传入参数,同时兼顾list类型以及普通数据类型; 3.注意使用时的空格标识符的添加,否则IDE可能会提示,如果不提示,那就只能在运行时抛出异常了; 4.厉害了我的Hibe
Hibernate set parameter null
tangyanbo1110的专栏
11-27 587
1. 错误代码   session.createSQLQuery( "insert into teacherdev_basic_young(TEACHERID,FIRST_GRADU_DATE) values(:TEACHERID,:FIRST_GRADU_DATE)") .setParameter("TEACHERID", "2015") .setParamet...
hibernate3hibernate4 query.setParameter(i,list.get(i))
平凡~坚持的博客
03-22 1191
上一个项目是用的hibernate3,现在的项目用的hibernate4。一些可以通用的代码比如拼接hql,使用hibernate4,执行的时候出错了。 错误原因:使用hibernate4   list.get(i)得到的类型是Long。query.setParameter(i,list.get(i));//报错 解决方法:query.setParameter(i, ((Number)list
java setparameter_hibernate预编译SQL语句中的setParametersetParameterList
weixin_36185435的博客
02-16 854
使用预编译SQL语句占位符参数(在jdbc中是?),能够避免因为使用字符串拼接sql语句带来的复杂性。我们先来简单的看下,使用预编译SQL语句好处。使用String sql = “select * from Student where name=” + name;如果name的值是1或 “aty”或”aty’aty”,就会产生下面错误的sql--ORA-01722 invalid numbe...
java 动态拼接sql语句使用.setParameter
最新发布
06-13
### Java中使用setParameter方法动态拼接SQL语句的安全性及正确用法 在Java中,`setParameter`方法通常与`PreparedStatement`或ORM框架(如Hibernate、MyBatis)结合使用,以防止SQL注入攻击。以下是关于其安全性正确用法的详细说明。 #### 1. 安全性分析 使用`setParameter`方法是防止SQL注入的有效方式之一。通过预编译语句参数绑定机制,数据库驱动程序会自动对参数进行转义处理,从而避免恶意输入被解析为SQL代码的一部分[^1]。例如: ```java String sql = "SELECT c.name FROM Category c WHERE c.id = :id"; Query query = session.createQuery(sql); query.setParameter("id", userId); ``` 上述代码中,`:id`是一个命名占位符,`setParameter`方法将用户输入的`userId`绑定到该占位符上。无论用户输入的内容是什么,它都会被视为一个普通的字符串或数值,而不会改变SQL语句的结构。 相比之下,直接拼接SQL字符串的方式存在严重的安全隐患。例如: ```java String sql = "SELECT * FROM users WHERE id = " + req.getParameter("id"); ``` 如果用户输入`id=1 OR 1=1`,最终生成的SQL语句将是`SELECT * FROM users WHERE id = 1 OR 1=1`,这可能导致查询返回所有用户的记录[^2]。 #### 2. 正确用法 以下是使用`setParameter`方法的正确示例及其注意事项。 ##### 示例1:使用`PreparedStatement` `PreparedStatement`是JDBC提供的标准接口,用于执行预编译SQL语句。以下是一个简单的示例: ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; try (PreparedStatement pstmt = connection.prepareStatement(sql)) { pstmt.setString(1, username); pstmt.setString(2, password); ResultSet rs = pstmt.executeQuery(); // 处理结果集 } ``` 在此示例中,`?`是占位符,`setString`方法将用户输入的值绑定到对应的占位符位置。这种方式确保了输入内容不会影响SQL语句的逻辑结构。 ##### 示例2:使用Hibernate的`Query`对象 在Hibernate中,可以使用`Query`对象执行带有参数的HQL(Hibernate Query Language)查询。例如: ```java String hql = "FROM User u WHERE u.username = :username AND u.password = :password"; Query query = session.createQuery(hql); query.setParameter("username", username); query.setParameter("password", password); List<User> users = query.list(); ``` 这里,`:username``:password`是命名占位符,`setParameter`方法将实际值绑定到这些占位符上。Hibernate会自动处理参数的转义,确保安全性[^3]。 ##### 示例3:使用MyBatis的`#{}`占位符 在MyBatis中,可以通过XML映射文件或注解定义参数化查询。例如: ```xml <select id="findUserByUsernameAndPassword" resultType="User"> SELECT * FROM users WHERE username = #{username} AND password = #{password} </select> ``` 对应的Java接口如下: ```java public interface UserMapper { User findUserByUsernameAndPassword(@Param("username") String username, @Param("password") String password); } ``` 调用时: ```java User user = userMapper.findUserByUsernameAndPassword(username, password); ``` MyBatis会自动将`#{}`占位符替换为安全的参数绑定表达式,从而防止SQL注入[^3]。 #### 3. 注意事项 - **避免使用`$`符号**:在MyBatis中,`$`符号会将变量直接插入到SQL语句中,而不进行任何转义。因此,应尽量避免使用`$`,改用`#{}`以确保安全性。 - **输入验证**:即使使用了`setParameter`方法,仍然建议对用户输入进行严格的格式校验清理,以进一步降低潜在风险[^5]。 - **数据库权限管理**:为数据库用户分配最小必要的权限,限制其仅能访问特定的表或视图,从而减少SQL注入带来的损害。 ### 总结 在Java中,使用`setParameter`方法动态拼接SQL语句是一种安全的做法,前提是正确地结合`PreparedStatement`、Hibernate或MyBatis等工具。这种方法通过参数绑定机制有效防止了SQL注入攻击,同时提高了代码的可读性维护性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值