Hibernate一些防止SQL注入的方式

 Hibernate一些防止SQL注入的方式

  Hibernate在操作数据库的时候,有以下几种方法来防止SQL注入

    1.对参数名称进行绑定:

    2.对参数位置进行邦定:

    3.setParameter()方法:

    4.setProperties()方法:

    5.HQL拼接方法,这种方式是最常用,而且容易忽视且容易被注入的,通常做法就是对参数的特殊字符进行过滤,推荐大家使用 Spring工具包的StringEscapeUtils.escapeSql()方法对参数进行过滤:
 

public static void main(String[] args) {
    String str = StringEscapeUtils.escapeSql("'");
    System.out.println(str);
}

hibernate createQuery查询传递参数的两种方式,防止SQl注入  
方式一:


String hql = "from InventoryTask it where it.orgId=:orgId";
        Session session = getSession();
        Query query=session.createQuery(hql);
        query.setString("orgId",orgId);
        List list = query.list();
        if(list!=null&&list.size()!=0){
            return (InventoryTask)list.get(0);
        }else{
            return null;
        }



方式二:

    
String hql = "from InventoryTask it where it.orgId=?,it.orgName";
        Session session = getSession();
        Query query=session.createQuery(hql);
        query.setString("0",orgId);
                query.setString(1,orgName)
        List list = query.list();
        if(list!=null&&list.size()!=0){
            return (InventoryTask)list.get(0);
        }else{
            return null;
        }

你可能感兴趣的:(技术)