2. 程式人生 > >hibernate之Hql ->update語句的用法 5種引數繫結

hibernate之Hql ->update語句的用法 5種引數繫結

阿新 發佈:2018-11-25

雖然hibernate提供了許多方法對資料庫進行更新,但是這的確不能滿足開發需要。現在講解一下用hql語句對資料進行更新。

不使用引數繫結格式String hql="update User u set u.userName=123 where u.userId=2";

 

介紹5種引數繫結,和為什麼要使用引數繫結,好處在哪裡。

 

一.query.setParameter(屬性名,真實值,型別);

String hql="update User u set u.userName=:userName where u.userId=:userId";

Query query  = getSession.createQuery(hql); 

query.setParameter("userName", userName(對應:後面的值), Hibernate.STRING);

query.setParameter("userId", userId(對應:後面的值), Hibernate.INTEGER);

query.executeUpdate();

 

二.query.setXXXX(屬性值,真實值);

String hql="update User u set u.userName=:userName where u.userId=:userId";

query.setString("userName",userName);

query.setInteger("userId",userId);

query.executeUpdate();

 

三.query.setString(問號位置,真實值);

String hql="update User u set u.userName=? where u.userId=?";

Query query  = getSession.createQuery(hql); 

query.setString(0,userName);

query.setInteger(1,userId);

query.executeUpdate();

 

四.query.setProperties(物件);

String hql="update User u set u.userName=:userName where u.userId=:userId";

Query query  = getSession.createQuery(hql); 

User user = new User();

user.serUserName("張三");

user.setUserId(2);

query.setProperties(user);

query.executeUpdate();

 

 

五. 這裡還有一個特殊的setEntity()方法,它會把命名引數與一個持久化物件相關聯,如下面程式碼所示:
Customer customer=(Customer)session.load(Customer.class,”1”);
Query query=session.createQuery(“from Order order where order.customer=:customer ”);
query. setProperties(“customer”,customer);
List list=query.list();
上面的程式碼會生成類似如下的SQL語句:
Select * from order where customer_ID=’1’;

 

六. 使用繫結引數的優勢:
我們為什麼要使用繫結命名引數?任何一個事物的存在都是有其價值的,具體到繫結引數對於HQL查詢來說,主要有以下兩個主要優勢:
①、 可以利用資料庫實施效能優化,因為對Hibernate來說在底層使用的是PrepareStatement來完成查詢,因此對於語法相同引數不同的SQL語句,可以充分利用預編譯SQL語句快取,從而提升查詢效率。
②、 可以防止SQL Injection安全漏洞的產生:
SQL Injection是一種專門針對SQL語句拼裝的攻擊方式,比如對於我們常見的使用者登入,在登入介面上,使用者輸入使用者名稱和口令,這時登入驗證程式可能會生成如下的HQL語句:
“from User user where user.name=’” name ”’ and user.password=’” password ”’ ”
這個HQL語句從邏輯上來說是沒有任何問題的,這個登入驗證功能在一般情況下也是會正確完成的,但是如果在登入時在使用者名稱中輸入”zhaoxin or ‘x’=’x”,這時如果使用簡單的HQL語句的字串拼裝,就會生成如下的HQL語句:
“from User user where user.name=’zhaoxin’ or ‘x’=’x’ and user.password=’admin’ ”;
顯然這條HQL語句的where字句將會永遠為真,而使使用者口令的作用失去意義,這就是SQL Injection攻擊的基本原理。
而使用繫結引數方式,就可以妥善處理這問題,當使用繫結引數時,會得到下面的HQL語句:
from User user where user.name=’’zhaoxin’’ or ‘’x=’’x’’ ‘ and user.password=’admin’;由此可見使用繫結引數會將使用者名稱中輸入的單引號解析成字串(如果想在字串中包含單引號,應使用重複單引號形式),所以引數繫結能夠有效防止SQL Injection安全漏洞

 

轉自: https://blog.csdn.net/u014492098/article/details/42103089

相關推薦

hibernateHql ->update語句用法 5引數

雖然hibernate提供了許多方法對資料庫進行更新,但是這的確不能滿足開發需要。現在講解一下用hql語句對資料進行更新。 不使用引數繫結格式String hql="update User u set u.userName=123 where u.userId=2";  

hibernateHql ->update語句用法 5引數

雖然hibernate提供了許多方法對資料庫進行更新,但是這的確不能滿足開發需要。現在講解一下用hql語句對資料進行更新。 不使用引數繫結格式String hql="update User u set u.userName=123 where u.userId=2";

【進階3-1期】JavaScript 5 this 全面解析

(關注福利,關注本公眾號回覆[資料]領取優質前端視訊,包括Vue、React、Node原始碼和實戰、面試指導) 本週正式開始前端進階的第三期,本週的主題是this全面解析,今天是第9天。 本計劃一共28期,每期重點攻克一個面試重難點,如果你還不瞭解本進階計劃,點選檢視前端進階的破冰之旅 如果覺得本系列不

hibernatehql的通用分頁

首先看一個業務需求:通過書籍名字模糊查詢資料,並且具備分頁的功能,通常情況下可以如下寫查詢的方法,但如果查詢維度較多則比較麻煩。 新寫一個BaseDao專門去處理這個問題,BaseDao程式碼如下: package com.zking.eight.util; import java.

hibernateHQL入門

1. 查詢整個對映物件所有欄位 //直接from查詢出來的是一個對映物件,即:查詢整個對映物件所有欄位 String hql = "from Users"; Query query = session.createQuery(hql

HibernateHQL多表查詢

多表的查詢進行使用HQL語句進行查詢,HQL語句和SQL語句的查詢語法比較類似 內連線查詢 顯示內連線 select * from customer c inner join orders o on c.cid = o.cno

hibernatehql查詢語言

HQL(Hibernate Query Language) 是面向物件的查詢語言, 它和 SQL 查詢語言有些相似. 在 Hibernate 提供的各種檢索方式中, HQL 是使用最廣的一種檢索方式.。它有如下功能: 在查詢語句中設定各種查詢條件; 支援投影查詢, 即僅

java23設計模式建立型設計模式(5

 23種設計模式可以分為三類:建立型模式、結構性設計模式、行為型設計模式。 本文將會從淺至深的講解建立型設計模式。 建立型設計模式有: AbstractFactory ( 抽象工廠 ) FactoryMethod ( 工廠方法 ) Singleton ( 單態模式 ) Builde

mysql中insert into語句5寫法(上)

insert into是mysql中最常用的插入語句,它有5種寫法。下面讓我們一起來看一看吧: http://blog.csdn.net/number1killer/article/details/778424721向原表中某些欄位中插入一條記錄。語法:insert into

二、Springmvc+Mybatis 引數預設引數 簡單型別 POJO POST亂碼問題

web.xml <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://xmlns.jcp.org/xml/

5.引數-pojo包裝型別(傳智播客)

需求:根據商品名稱模糊匹配商品資訊 1.controller層開發 //根據商品名稱模糊匹配商品資訊 @RequestMapping("/queryItemByItemName") public ModelAndView queryItemByItemName(ItemsQueryV

SpringMVC框架(1)(1.3 自定義引數

一、自定義引數繫結-屬性編輯器(不推薦) 問題:① 4.1 itemsList.jsp 中增加顯示 “訂購日期” 屬性;② JSP頁面中日期拿到的是字串,而提交到Controller中POJO類ItemsCustom 屬性物件的日期欄位要變成Date型別,即字串轉換成日期型別,無法自動轉

SpringMVC框架(1)(1.3 引數

引數繫結 一、繫結簡單型別引數:整型、字串、float/double、日期、布林(eg:Controller中方法 public String editItemsSubmit(String name,Float price)) (eg:4.2 editItems.jsp 中 name

Springmvc引數

spring引數繫結過程 概念:從客戶端請求key/value資料,經過引數繫結,將key/value資料繫結到controller方法形參上。 springmvc中,接受頁面提交的資料是通過方法形參來接收,而不是在controller類定義成員變數來接收 第一步:

(二)SpringBoot初學者引數

1.新建 web 工程 2.檔案目錄 3.建立Person類,新建applapplication.yml Person類: package com.atguigu.springboot01helloworld.bean; import jav

<SpringMvc&gt;入門三 引數

  1.get請求 <%--請求引數的繫結--%> <%--get請求引數--%> <a href="/param/testParam1?username=tom&password=123456">請求引數繫結</a

java web路 controller引數從前端頁面獲得資料

jsp頁面,controller,requestmapping controller中註解requestmapping表示接收這個請求,通過reture表示轉到那個jsp頁面上。 前端頁面將一組資料傳到controller可以通過定義一個<from action="

Hibernate在進行SQL查詢,並把查詢結果到POJO物件。

我們通過註解的方式可以把一個實體物件繫結到一個數據表。然後用Hibernate操作這個物件對錶進行資料操作。也可以用Hql來查詢並自動把結果繫結到@Entity物件中。   但是我們可能也會碰到這種情況,當我們要做一些資料統計的時候,查詢可能會牽扯到多張表的查詢。所以用Hql可能就達不到我們要查詢的

SpringMVC請求引數用法

目錄 1.把請求資料封裝到JavaBean類中 (1)自定義一個JavaBean類 package com.heima.domain; import java.io.Serializ

vue選單新增選擇,知識:資料雙向、迴圈渲染、事件點選以及按鍵的點選

要求: 1.可以增加菜名 2.可以刪除菜名 3.點選選擇菜名後自動增加到已選選單中 4.可以在已選選單中取消選擇   程式碼: <template> <div> <input type="text" ref="add"> &