Hibernate一些防止SQL注入的方式

 Hibernate一些防止SQL注入的方式

  Hibernate在操作数据库的时候，有以下几种方法来防止SQL注入

    1.对参数名称进行绑定：

    2.对参数位置进行邦定：

    3.setParameter()方法：

    4.setProperties()方法：

    5.HQL拼接方法，这种方式是最常用，而且容易忽视且容易被注入的，通常做法就是对参数的特殊字符进行过滤，推荐大家使用 Spring工具包的StringEscapeUtils.escapeSql()方法对参数进行过滤：
 

public static void main(String[] args) {
    String str = StringEscapeUtils.escapeSql("'");
    System.out.println(str);
}

hibernate createQuery查询传递参数的两种方式，防止SQl注入　　
方式一:


String hql = "from InventoryTask it where it.orgId=:orgId";
        Session session = getSession();
        Query query=session.createQuery(hql);
        query.setString("orgId",orgId);
        List list = query.list();
        if(list!=null&&list.size()!=0){
            return (InventoryTask)list.get(0);
        }else{
            return null;
        }



方式二:

    
String hql = "from InventoryTask it where it.orgId=?,it.orgName";
        Session session = getSession();
        Query query=session.createQuery(hql);
        query.setString("0",orgId);
                query.setString(1,orgName)
        List list = query.list();
        if(list!=null&&list.size()!=0){
            return (InventoryTask)list.get(0);
        }else{
            return null;
        }