Hibernate一些防止SQL注入的方式

转载

A零零八 2024-02-22 17:20:17 博主文章分类：技术

文章标签 List SQL 特殊字符 文章分类 Html/CSS 前端开发

Hibernate一些防止SQL注入的方式

Hibernate在操作数据库的时候，有以下几种方法来防止SQL注入

    1.对参数名称进行绑定：

    2.对参数位置进行邦定：

    3.setParameter()方法：

    4.setProperties()方法：

    5.HQL拼接方法，这种方式是最常用，而且容易忽视且容易被注入的，通常做法就是对参数的特殊字符进行过滤，推荐大家使用 Spring工具包的StringEscapeUtils.escapeSql()方法对参数进行过滤：

public static void main(String[] args) { 

     String str = StringEscapeUtils.escapeSql("'"); 

     System.out.println(str); 

 }

hibernate createQuery查询传递参数的两种方式，防止SQl注入　　
方式一:

String hql = "from InventoryTask it where it.orgId=:orgId"; 

         Session session = getSession(); 

         Query query=session.createQuery(hql); 

         query.setString("orgId",orgId); 

         List list = query.list(); 

         if(list!=null&&list.size()!=0){ 

             return (InventoryTask)list.get(0); 

         }else{ 

             return null; 

         }

方式二:

String hql = "from InventoryTask it where it.orgId=?,it.orgName"; 

         Session session = getSession(); 

         Query query=session.createQuery(hql); 

         query.setString("0",orgId); 

                 query.setString(1,orgName) 

         List list = query.list(); 

         if(list!=null&&list.size()!=0){ 

             return (InventoryTask)list.get(0); 

         }else{ 

             return null; 

         }