hibernate 拼sql防止注入的问题

最新推荐文章于 2025-07-18 09:29:57 发布

原创最新推荐文章于 2025-07-18 09:29:57 发布 · 1.8k 阅读

0 ·

CC 4.0 BY-SA版权

java 专栏收录该内容

65 篇文章

订阅专栏

本文介绍了一种在Java中动态拼接SQL查询的方法，通过使用Hibernate框架结合字符串替换功能来实现安全的参数化查询。这种方法能有效避免SQL注入攻击，并展示了如何根据不同的条件动态构造查询语句。

//对参数拼接sql的时候，//replaceAll("'","''")即可.即把单引号替换成双单引号

public List<Device> findDeviceUsers(final String devMac,final  String serviceId){
      return getHibernateTemplate().execute(new HibernateCallback<List<Device>>() {
         @Override
         public List<Device> doInHibernate(Session session) throws HibernateException, SQLException {


            List<Device> deviceList = null;
            String HQL = "  from Device d,UsersToDevice ut ";
            String where = " where 1=1";
            if (!serviceId.isEmpty()&&serviceId!=null){
//             String HQL = "  from Device d,Users u,UsersToDevice ut where d.devMac='"+devMac+"' and d.serviceId='"+serviceId+"' and ut.openid='"+openId+"'";
               where +=" and d.serviceId='"+serviceId.replaceAll("'","''")+"'";

            }
            if (!devMac.isEmpty() && devMac!=null){
               where +=" and d.devMac='"+devMac.replaceAll("'","''")+"'";
            }

            

            where+=" and d.id=ut.id";

            HQL+=where;

            Query query = session.createQuery(HQL);
            List<Object[]> resultList = query.list();
            if (resultList!=null && !resultList.isEmpty()){
               deviceList = new ArrayList<Device>(resultList.size());
               for (Object[] objects : resultList) {
                  Device device = (Device)objects[0];
                  deviceList.add(device);
               }
            }
            return deviceList;
         }
      });
   }