Hibernate SQLQuery 原生SQL参数赋值自设,防止数据泄露(安全性)

最新推荐文章于 2021-10-21 12:36:23 发布
最新推荐文章于 2021-10-21 12:36:23 发布
阅读量836 收藏 1
点赞数
分类专栏: Java开发 数据库 文章标签: hibernate
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44729970/article/details/106259966
版权

安全性考虑

通常我们写sql语句代码的时候都是直接把需要查询的数据赋值给参数,这样的话可能会引发安全问题,因此要使用Hibernate 的原生sql来保证数据的安全。下面我就做一个简单的例子。

参数值自设储存

String sql = "select * from pubuser where str1 = str1 and str2 = str2 and str3 = str3";
通常原生sql我们都是通过这个格式来进行查询。
getEntityDao().executeSQL(sql.toString(), str1, str2, ---);
但是sql语句比较复杂时或者sql语句多条件判断时,我们无法确定具体的字段个数与字段,这时候就需要自己设一个集合将所需要查询的参数值给储存起来。
List<Object> param = new ArrayList<Object>();
sql = "select * from pubuser where str1 = ? and str2 = ? and str3 = ?";
param.add(str1);
param.add(str2);
param.add(str3);
param.add(...);


把参数值改为?并在对应的代码下面将值储存到param集合当中,这样的话我们就将查询所需条件的值全部都拿到了

参数值获取

前面已经将查询所需字段值全部都保存了,现在查询就是要获取所需字段数据了

int ind = 0;
int len = param.size(); 
//自己设一个对象数组
Object[] obj = new Object[len];
//将集合的值赋给对数组的位置
for (Object params:param) {
	obj[ind] = params;
	ind++;
}
//这样我们查询所需字段的值就保存到obj对象数组中去了
//放入对应参数
Query query = session.createSQLQuery(sql.toString());
if (obj != null && obj .length > 0) {
	for (int i = 0; i < obj .length; i++) {
		query .setString(i, obj [i].toString());
	}
}
List list= query.list();

这样原生sql查询就完成了,保证重要参数不会泄露了

且随风而行
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis中利用动态SQL数据库进行优化和安全检查
程序员光剑
07-29 1900
MyBatis 是一款优秀的持久层框架,它支持自定义 SQL、存储过程以及高级映射。但是 MyBatis 也存在着不少性能和安全方面的问题。Mybatis 本身功能强大且易用,但同时也可能给系统来很多隐患和风险。为了更好地保障系统的安全性和运行效率,本篇文章将结合 Mybatis 的一些特性,通过动态 SQL数据库进行优化和安全检查的方法进行探讨。什么是动态 SQL
SQL 总结(-)
08-08 471
Hibernate语言查询(支持hql, 原生SQL查询,标准化对象查询)
Hibernate中使用SQLQuery
hfrujhv的博客
11-09 1322
Hibernate中使用SQLQuery
Hibernate4 执行SQL语句
jokes000的专栏
08-12 5873
官方文档位置:http://docs.jboss.org/hibernate/orm/4.2/manual/en-US/html/ 以下为转载内容:http://www.blogjava.net/ccbobocat/archive/2009/04/15/309510.html (一) 开门见山.今天我要说的是不用HQL执行SAVE和DELETE方法,用hibernate的exec
Hibernate中设置query参数的方法
屌丝女quanlanlan的博客
07-29 1736
1.用hibernate建议的命名参数方法(推荐):  List<Student> list = session.createQuery("from Student where dept=:sdept and age>:sage and sex=:sex")  .setString("sdept", "计算机学院")  .setParameter("sex", "男")  .setInteger("
Hibernate 执行原生SQL
半拾
02-18 2219
我们在使用Hibernate的时候,有时由于hql的局限性我们不得不使用SQLHibernate不仅支持Hql同时也支持sql。 我们可以通过HibernateDaoSupport的getSessionFactory()拿到我们需要的Session工厂 然后通过工厂获取一个Session 这里有两种方法。 1.getSessionFactory().openSession();
使用Hibernate SQLQuery执行原生SQL
qq_23476319的博客
03-14 1030
Hibernate原生SQL查询的支持和控制是通过SQLQuery接口实现的。通过Session接口,我们能够很方便的创建一个SQLQuery(SQLQuery是一个接口,在Hibernate4.2.2之前,默认返回的是SQLQuery的实现类——SQLQueryImpl对象,在下文中出现的SQLQuery如非注明,都是指该子类)对象来进行原生SQL查询: session.createSQ
Hibernate SQLQuery执行原生SQL
houtingpeng的博客
11-25 1357
一、简介 Hibernate原生SQL查询的支持和控制是通过SQLQuery接口实现的。通过Session接口,我们能够很方便的创建一个SQLQuery(SQLQuery是一个接口,在Hibernate4.2.2之前,默认返回的是SQLQuery的实现类——SQLQueryImpl对象,在下文中出现的SQLQuery如非注明,都是指该子类)对象来进行原生SQL查询:1、查询的那个对象的简单查询事
hibernate的baseDao原生SQL
pssalways的博客
11-03 515
1、 BaseDAO 需求: 按名字分页查询对应书籍信息 package com.zking.eight.dao; import java.util.Collection; import java.util.List; import java.util.Map; import org.hibernate.Session; import org.hibernate.query.Query; /...
hibernate3中通过nativesql或取部分字段并映射为具体对象的实现
03-06
这篇博客探讨了如何在Hibernate3中通过原生SQL获取部分字段,并将这些数据映射到具体的对象实例。 首先,原生SQL查询允许开发者绕过Hibernate的HQL(Hibernate Query Language),直接使用数据库的SQL语法进行查询...
Hibernate学习笔记之HQL
zxy15974062965的博客
10-21 385
今日课程: 1,什么是HQL HQL是Hibernate Query Language(hibernate的查询语言)的缩写 2,HQL和SQL区别/异同 HQL SQL 操作类名/属性 操作表名/列名 区分大小写,关键字不区分大小写 不区分大小写 别名 别名 as a ?,从下标0开始计算位置(hibernate5之后不支持) ?,从顺序1开始计算位置 命名参数 不支持。命名参数 面向对象的查询
7、HibernateSQLQuery查询
weixin_40646763的博客
01-16 806
一.SQLQuery简介 SQLQuery接口用于接受一个sql语句进行查询,然后调用list()或uniqueResult()进行查询。但是sql语句不会直接封装到实体对象里,需要手写代码才可以封装到实体中。 二.SQLQuery常用接口方法 addEntity()方法:该方法用于将查询到的结果集转换为你设置的实体类 setter()方法:Query接口中提供了一系列的setter方法用于设置...
Hibernate 入门----Query,Criteria,SQLQuery
fengltxx的博客
04-05 2158
Hibernate 入门—-Query,Criteria,SQLQuery ONE Goal , ONE Passion ! hibernateQueryHQL(Hibernate Query Language)是一种Hibernate专用的查询语句,基于面向对象的模式,将SQL语句转化成对象的操作格式. list() 查询多条 @Test public void
HibernateTemplate执行原生SQL总结
热门推荐
sonwing_for的博客
04-01 1万+
一次做项目中,我将数据源放在了db.properties文件中,将数据源dataSource交给Spring来管理。然后在dao的实现层继承HibernateSupport类,从而通过this.getHibernateTemplate()就可以执行HQL语句。据说是在HibernateTemplate类里面就有sessionFactory这个属性。 附上我的db.properties和sprin
Hibernate显示SQL语句的绑定参数
alva88888888的博客
01-17 178
使用Hibernate提供的内置属性<Property name="show_sql">true</Property>只能输出类似于下面的SQL语句: Hibernate:  insert into student(name, sex, age, cardId, classroom_id, id) values (?, ?, ?, ?, ?, ?) 这样不...
hibernate中excuteSQLQuery如何最终还是得到实体类,不是Object
pretendjoke的博客
05-18 776
我是在运用SSH开发一个博客网站,其中有一个需求是列出用户评论过的文章,这就需要根据用户ID连接查询评论表,博客表。而SQL查询的结果集不会像HQL那样将结果集自动装载成相应实体对象,这个时候,使用addEntity(实体类.class)就可以把结果集装载成对应实体对象。代码: public List listBlogByComment(User user) {          String
Hibernate原生sql 方式
huanlu的专栏
04-14 651
<br />方式一:<br />String sql="select fi.id, fi.name FROM meeting_fee_item mfi,fee_item  fi " +<br />             "where fi.id=mfi.feeitemid and mfi.id=" + meetingFeeItemId;<br /><br />Session session = getSessionFactory().getCurrentSession();<br />        
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值