《深入浅出Hibernate》读书笔记2——参数绑定

有许多人都这么写 hql 的： String hql = "from TUser user where user.nage='" + username + "' and user.password='" + password + "'";

其实这样写非常不好，性能低下，安全性又低。

1、编码零乱，可读性低

2、难以进行查询性能优化，因为

from TUser user where user.nage = ' jack '  and user.password = ' abc '  

和

 from TUser user where user.nage = ' jack '  and user.password = ' 123 '  

对于数据库来说就是两句不同的语句，之前的缓存无法使用，导致了性能优化策略失败 

3、引入额外的风险，举个例子：
如果在用户名栏输入 jack' or 'x'='x 到了 hql 就会变成这样 

from TUser user where user.nage = ' jack '  or  ' x ' = ' x '  and user.password = ' 123 '  

于是只要存在 jack 这个用户就可以无视密码直接进去了，这就是 SQL Injection 攻击

 

鉴于以上的那么多不足，修正的办法就是：

使用参数的动态绑定机制

1、通过 Query 接口进行参数填充，例子：

Query query  =  session.createQuery( " from TUser user where user.name=? and user,age>? " );
query.setString( 0 , " Erica " );
query.setInteger( 1 , 20 );

或者使用更人性化的引用占位符：

String hql  =   " from TUser where name=:name " ;
Query query  =  session.createQuery(hql);
query.setParameter( " name " , " Erica " );

 

在人性化的基础上我们甚至可以做的更对象化：

 

class  UserQuery
... {
      private String name;
      private Integer age;
      //getter...setter
}

// 查询代码
String hql  =   " from TUser where anme = :name and age=:age " ;
Query query  =  session.createQuery(hql);

UserQuery uq  =   new  UserQuery();
uq.setName( " Erica " );
uq.setAge( new  Integer( 20 ));

query.setProperties(uq);

Iterator it  =  query.iterate();