Hibernate一些防止SQL注入的方式
Hibernate在操作数据库的时候,有以下几种方法来防止SQL注入
1.对参数名称进行绑定:
2.对参数位置进行邦定:
3.setParameter()方法:
4.setProperties()方法:
5.HQL拼接方法,这种方式是最常用,而且容易忽视且容易被注入的,通常做法就是对参数的特殊字符进行过滤,推荐大家使用 Spring工具包的StringEscapeUtils.escapeSql()方法对参数进行过滤:
public static void main(String[] args) {
String str = StringEscapeUtils.escapeSql("'");
System.out.println(str);
}
hibernate createQuery查询传递参数的两种方式,防止SQl注入
方式一:
String hql = "from InventoryTask it where it.orgId=:orgId";
Session session = getSession();
Query query=session.createQuery(hql);
query.setString("orgId",orgId);
List list = query.list();
if(list!=null&&list.size()!=0){
return (InventoryTask)list.get(0);
}else{
return null;
}
方式二:
String hql = "from InventoryTask it where it.orgId=?,it.orgName";
Session session = getSession();
Query query=session.createQuery(hql);
query.setString("0",orgId);
query.setString(1,orgName)
List list = query.list();
if(list!=null&&list.size()!=0){
return (InventoryTask)list.get(0);
}else{
return null;
}