《深入浅出Hibernate》读书笔记2——参数绑定

最新推荐文章于 2019-04-13 01:45:26 发布
最新推荐文章于 2019-04-13 01:45:26 发布
阅读量1.4k 收藏
点赞数
分类专栏: java技术 文章标签: hibernate 读书 性能优化 string 数据库 query
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nsrainbow/article/details/2323460
版权

有许多人都这么写 hql 的: String hql = "from TUser user where user.nage='" + username + "' and user.password='" + password + "'";

其实这样写非常不好,性能低下,安全性又低。

1、编码零乱,可读性低

2、难以进行查询性能优化,因为

from TUser user where user.nage = ' jack '  and user.password = ' abc '  

 from TUser user where user.nage = ' jack '  and user.password = ' 123 '  

对于数据库来说就是两句不同的语句,之前的缓存无法使用,导致了性能优化策略失败 

3、引入额外的风险,举个例子:
如果在用户名栏输入 jack' or 'x'='x 到了 hql 就会变成这样 

from TUser user where user.nage = ' jack '  or  ' x ' = ' x '  and user.password = ' 123 '  

于是只要存在 jack 这个用户就可以无视密码直接进去了,这就是 SQL Injection 攻击

 

鉴于以上的那么多不足,修正的办法就是:

使用参数的动态绑定机制

1、通过 Query 接口进行参数填充,例子:

Query query  =  session.createQuery( " from TUser user where user.name=? and user,age>? " );
query.setString( 0 , " Erica " );
query.setInteger( 1 , 20 );


或者使用更人性化的引用占位符:

String hql  =   " from TUser where name=:name " ;
Query query  =  session.createQuery(hql);
query.setParameter( " name " , " Erica " );

 

在人性化的基础上我们甚至可以做的更对象化:

 

class  UserQuery
 {
      private String name;
      private Integer age;
      //getter...setter
}

// 查询代码
String hql  =   " from TUser where anme = :name and age=:age " ;
Query query  =  session.createQuery(hql);

UserQuery uq  =   new  UserQuery();
uq.setName( " Erica " );
uq.setAge( new  Integer( 20 ));

query.setProperties(uq);

Iterator it  =  query.iterate();

 

 

alexxiyang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入浅出Spring Boot 2.x——第一章Spring Boot来临
Fairy的博客
02-28 1356
java语言简单、安全、支持多线程、高性能和多年javaEE的技术积累,能够快速、安全、高性能地构建互联网项目。 1.Spring 的历史​​​​​ 在Spring框架没有开发出来时,javaEE是以Sun公司所制定EJB(Enterprise Java Bean)作为标准的。在"遥远"的EJB年代,开发一个EJB需要大量的接口和配置文件,直至EJB2.0的年代,开发一个EJB还需要配置...
深入浅出Hibernate读书笔记[转载]
yuzhongyuzhong的专栏
07-21 1486
(1)――实体对象生命周期 - -近正在研读《深入浅出Hibernate》一书,前面写的随笔有些也是读该书的笔记,只是未做归类,从这篇开始,我将把相关的内容都整理成一个系列的读书笔记。      今天这篇是有关实体对象的生命周期。我刚开始接触Hibernate的时候,只是简单的把它当做一个API工具,直到后来看到有关VO和PO的内容时,才意识到Hibernate不仅仅是一个O/R Mappin
深入浅出Spring Boot 2.x读书笔记
weixin_42230824的博客
04-13 2221
通过扫描装配你的 Bean 如果一个个的 Bean使用注解 @Bean注入 Spring IoC容器中,那将是一件很麻烦的事情。好在 Spring还允许我们进行扫描装配 Bean到 IoC容器中,那将是一件很麻烦的事情。好在 Spring还允许我们进行扫描装配 Bean到 IoC容器中,对于扫描装配而言使用的注解是 @Component和 @ComponentS...
深入浅出Hibernate读书笔记(9)——Session管理
derpvailzhangfan的专栏
04-01 681
      这一节是非常实用的一节,我在阅读此书的时候,一直在迷惑,究竟应该怎样管理Session呢?因为Session的管理是如此重要,类似于以前写程序对JDBC Connection的管理。看完此节后,终于找到了方法。      在各种Session管理方案中,ThreadLocal模式得到了大量使用。ThreadLocal是Java中一种较为特殊的线程绑定机制。通过ThreadLocal
深入浅出Hibernate读书笔记
04-25
总之,《深入浅出Hibernate读书笔记涵盖了实体对象生命周期的转换、实体对象的识别机制以及Hibernate的多级缓存策略,这些都是理解并有效使用Hibernate的关键点。通过深入学习这些概念,开发者能够更好地掌握...
深入浅出 Hibernate.pdf
05-05
深入浅出 Hibernate.pdf
深入浅出Hibernate.(夏昕 曹晓钢 唐勇)
11-19
总之,《深入浅出Hibernate》全面而深入地讲解了Hibernate的各个方面,适合Java开发者、尤其是初学者和进阶者阅读,通过学习,读者不仅可以掌握Hibernate的基本用法,还能理解其设计理念,从而在项目开发中更加...
深入浅出Hibernate》.pdf
01-22
深入浅出Hibernate》这本书是针对初学者设计的,旨在帮助读者快速掌握Hibernate这一流行的Java对象关系映射(ORM)框架。Hibernate是一个强大的工具,它简化了Java应用程序与数据库之间的交互,通过提供一种抽象...
夏昕.深入浅出Hibernate
03-30
深入浅出Hibernate》是一本专为Java开发者深度解析Hibernate框架的书籍,旨在帮助读者全面理解和熟练掌握Hibernate这一强大的对象关系映射(ORM)工具。Hibernate是Java领域中广泛使用的开源框架,它极大地简化了...
Shiro的 rememberMe 功能使用指导(为什么rememberMe设置了没作用?)
热门推荐
软件哲学
07-05 3万+
很多人现在都倾向于使用成型的权限认证框架Shiro,并且shiro的官方文档说它帮你实现了rememberMe。多么美好的诱饵啊!但是我们实际用起来的时候却发现不是我们想的那样的,那么shiro的 rememberMe究竟是怎么用的,为什么rememberMe设置了没作用?本文会针对原理来解释,并给出解决方案
shiro 与 redis 结合的解决方案 shiro-redis
软件哲学
06-11 2万+
Apache的shiro 要使用自定义的cache要自己实现  cacheManager 和 Cache 这两个接口 Shiro has three important cache interfaces: CacheManager Cache CacheManagerAware A CacheManager returns Cache instances and va
推荐一个很好的 HttpClient 入门教程
软件哲学
04-21 1万+
今天学习了 HttpClient  发现了一个超级好的教程,教程网址如下:http://www.ibm.com/developerworks/cn/opensource/os-httpclient/是IBM的工程师写的
tomcat server.xml maxPostSize 和 maxSavePostSize 设置出错造成的后果
软件哲学
05-19 1万+
之前我以为是method=post的问题,删除 method=post 就好了,其实是请求变成了get所以好了,今天才发现是 server.xml 里面有一个设置在作怪! 删掉这两项就好了! 上网查了一下 maxPostSize 和 maxSavePostSize 是设置最大的表单长度的,给我设成1了!结果post表单没了! =================
在Centos下用alternative命令切换各个版本的jdk的方法
软件哲学
01-29 1万+
centos自带openJDK,我从别的机器上拷贝了一个jdk1.7 到 /usr/java/ 目录下,然后运行  sudo alternatives --install /usr/bin/java java /opt/jdk1.7.0_71/bin/java 1 sudo alternatives --install /usr/bin/javac javac /opt/jdk1.7.0_71/
git for windows (又名 msysgit)如何记住用户名和密码
软件哲学
06-18 1万+
创建存储用户名密码的文件 在home文件夹,一般是 C:\Documents and Settings\Administrator 下建立文件 .git-credentials (windows下不允许直接创建以.开头的文件,所以有一个小技巧:先创建一个文件名叫 )git-credentials 然后进入 git bash 使用命令: mv git-credentials .git-cre
eclipse 自动换行wordwrap 插件
软件哲学
05-07 9591
当你在eclipse中编辑代码的时候觉得,太长了,需要用滚动条,但是又不想用 ctrl + shift + f 来格式化的时候(比如jsp页面,用了格式化,就很难看),怎么办?这么一个简单的自动换行功能,eclipse是没有的,需要安装一个小小的插件。Help -> Software Udate->find and install,选择Search for new features to
centos wget 下载 安装 jdk 的方法
软件哲学
11-30 8686
oracle 官方现在不允许直接使用 wget 下载 jdk的方式,必须在网站上同意协议才可以。 有两种方法可以下载: 1. 如果你可以找到oracle官方上找到下载地址(找到下载地址的方法一般是你直接在网站上注册然后下载才能看到,或者你直接使用我那个jdk6的地址凑合着用),就可以绕过oralce的验证: jdk6 wget --no-cookies --no-check-cer
hibernate在事务中的session.flush无效
软件哲学
06-25 4079
项目中遇到了一个问题,明明都调用了hibernateTemplate.flush可是还是没有保存数据,看了hibernateTemplate.flush的源代码:public void flush() throws DataAccessException {/* 786*/ execute(new Hib
hibernate_注解
05-10
hibernate_注解,有实例,讲解的非常清楚,易懂,很实用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值