Hibernate是壹個開放源代碼的對象關系映射框架,它對JDBC進行了非常輕量級的對象封裝,使得Java程序員可以隨心所欲的使用對象編程思維來操縱數據庫。
在獲取便利操作的同時,SQL的註入問題也值得我們的密切註意,下面就來談談幾點如何避免SQL註入:
1.對參數名稱進行綁定:
1
2
Query query=session.createQuery(hql);
query.setString(?name?,name);
2.對參數位置進行邦定:
1
2
3
4
Query query=session.createQuery(hql);
query.setString(0,name1);
query.setString(1,name2);
...
3.setParameter()方法:
1
2
Query query=session.createQuery(hql);
query.setParameter(?name?,name,Hibernate.STRING);
4.setProperties()方法:
1
2
3
4
5
Entity entity=new Entity();
entity.setXx(?xx?);
entity.setYy(100);
Query query=session.createQuery(?from Entity c where c.xx=:xx and c.yy=:yy ?);
query.setProperties(entity);
5.HQL拼接方法,這種方式是最常用,而且容易忽視且容易被註入的,通常做法就是對參數的特殊字符進行過濾,推薦大家使用 Spring工具包的StringEscapeUtils.escapeSql()方法對參數進行過濾:
1
2
3
4
public static void main(String[] args) {
String str = StringEscapeUtils.escapeSql("‘");
System.out.println(str);
}
輸出結果:‘‘
===================================================================================
Hibernate中對動態查詢參數綁定提供了豐富的支持,那麽什麽是查詢參數動態綁定呢?其實如果我們熟悉傳統JDBC編程的話,我們就不難理解查詢參數動態綁定,如下代碼傳統JDBC的參數綁定:PrepareStatement pre=connection.prepare(?select * from User where user.name=?);pre.setString(1,?zhaoxin?);ResultSet rs=pre.executeQuery();在Hibernate中也提供了類似這種的查詢參數綁定功能,而且在Hibernate中對這個功能還提供了比傳統JDBC操作豐富的多的特性,在Hibernate中***存在4種參數綁定的方式,下面我們將分別介紹:A、 按參數名稱綁定:在HQL語句中定義命名參數要用?:?開頭,形式如下:Query query=session.createQuery(?from User user where user.name=:customername and user:customerage=:age ?);query.setString(?customername?,name);query.setInteger(?customerage?,age);上面代碼中用:customername和:customerage分別定義了命名參數customername和customerage,然後用Query接口的setXXX()方法設定名參數值,setXXX()方法包含兩個參數,分別是命名參數名稱和命名參數實際值。B、 按參數位置邦定:在HQL查詢語句中用來定義參數位置,形式如下:Query query=session.createQuery(?from User user where user.name=? and user.age = );query.setString(0,name);query.setInteger(1,age);同樣使用setXXX()方法設定綁定參數,只不過這時setXXX()方法的第壹個參數代表邦定參數在HQL語句中出現的位置編號(由0開始編號),第二個參數仍然代表參數實際值。註:在實際開發中,提倡使用按名稱邦定命名參數,因為這不但可以提供非常好的程序可讀性,而且也提高了程序的易維護性,因為當查詢參數的位置發生改變時,按名稱邦定名參數的方式中是不需要調整程序代碼的。C、 setParameter()方法:在Hibernate的HQL查詢中可以通過setParameter()方法邦定任意類型的參數,如下代碼:String hql=?from User user where user.name=:customername ?;Query query=session.createQuery(hql);query.setParameter(?customername?,name,Hibernate.STRING);如上面代碼所示,setParameter()方法包含三個參數,分別是命名參數名稱,命名參數實際值,以及命名參數映射類型。對於某些參數類型setParameter()方法可以更具參數值的Java類型,猜測出對應的映射類型,因此這時不需要顯示寫出映射類型,像上面的例子,可以直接這樣寫:query.setParameter(?customername?,name);但是對於壹些類型就必須寫明映射類型,比如java.util.Date類型,因為它會對應Hibernate的多種映射類型,比如Hibernate.DATA或者Hibernate.TIMESTAMP。
D、 setProperties()方法:在Hibernate中可以使用setProperties()方法,將命名參數與壹個對象的屬性值綁定在壹起,如下程序代碼:Customer customer=new Customer();customer.setName(?pansl?);customer.setAge(80);Query query=session.createQuery(?from Customer c where c.name=:name and c.age=:age ?);query.setProperties(customer);setProperties()方法會自動將customer對象實例的屬性值匹配到命名參數上,但是要求命名參數名稱必須要與實體對象相應的屬性同名。這裏還有壹個特殊的setEntity()方法,它會把命名參數與壹個持久化對象相關聯,如下面代碼所示:Customer customer=(Customer)session.load(Customer.class,?1?);Query query=session.createQuery(?from Order order where order.customer=:customer ?);query. setEntity(?customer?,customer);List list=query.list();上面的代碼會生成類似如下的SQL語句:Select * from order where customer_ID=?1?;
Hibernate使用中防止SQL註入的幾種方案
標簽:list()獲取存在持久化接口.exergsarticlepre