hibernate防止sql注入對參數賦值傳參數的例子

一、按參數名稱綁定

在HQL語句中定義命名參數要用」:」開頭，形式以下： 

Query query=session.createQuery(「from User user where user.name=:customername and user:customerage=:age 」); 
query.setString(「customername」,name); 
query.setInteger(「customerage」,age); 

上 面代碼中用:customername和:customerage分別定義了命名參數customername和customerage，而後用 Query接口的setXXX()方法設定名參數值，setXXX()方法包含兩個參數，分別是命名參數名稱和命名參數實際值。 

二、 按參數位置邦定

在HQL查詢語句中用」?」來定義參數位置，形式以下： 

Query query=session.createQuery(「from User user where user.name=? and user.age =? 」); 
query.setString(0,name); 
query.setInteger(1,age); 

一樣使用setXXX()方法設定綁定參數，只不過這時setXXX()方法的第一個參數表明邦定參數在HQL語句中出現的位置編號（由0開始編號），第二個參數仍然表明參數實際值。 

注：在實際開發中，提倡使用按名稱邦定命名參數，由於這不但能夠提供很是好的程序可讀性，並且也提升了程序的易維護性，由於當查詢參數的位置發生改變時，按名稱邦定名參數的方式中是不須要調整程序代碼的。 

三、setParameter()方法

在Hibernate的HQL查詢中能夠經過setParameter()方法邦定任意類型的參數，以下代碼： 

String hql=」from User user where user.name=:customername 」; 
Query query=session.createQuery(hql); 
query.setParameter(「customername」,name,Hibernate.STRING); 

如上面代碼所示，setParameter()方法包含三個參數，分別是命名參數名稱，命名參數實際值，以及命名參數映射類型。對於某些參數類型 setParameter()方法能夠更具參數值的Java類型，猜想出對應的映射類型，所以這時不須要顯示寫出映射類型，像上面的例子，能夠直接這樣 寫： 
query.setParameter(「customername」,name);可是對於一些類型就必須寫明映射類型，好比 java.util.Date類型，由於它會對應Hibernate的多種映射類型，好比Hibernate.DATA或者 Hibernate.TIMESTAMP。

四、setProperties()方法

在Hibernate中可使用setProperties()方法，將命名參數與一個對象的屬性值綁定在一塊兒，以下程序代碼： 

Customer customer=new Customer(); 
customer.setName(「pansl」); 
customer.setAge(80); 
Query query=session.createQuery(「from Customer c where c.name=:name and c.age=:age 」); 
query.setProperties(customer); 

setProperties()方法會自動將customer對象實例的屬性值匹配到命名參數上，可是要求命名參數名稱必需要與實體對象相應的屬性同名。 
這裏還有一個特殊的setEntity()方法，它會把命名參數與一個持久化對象相關聯，以下面代碼所示： 

Customer customer=(Customer)session.load(Customer.class,」1」); 
Query query=session.createQuery(「from Order order where order.customer=:customer 」); 
query. setEntity(「customer」,customer); 
List list=query.list();