Hibernate HQL的update方法详解

虽然hibernate提供了许多方法对数据库进行更新,但是这的确不能满足开发需要。现在讲解一下用hql语句对数据进行更新。

不使用参数绑定格式String hql="update User u set u.userName=123 where u.userId=2";

介绍5种参数绑定,和为什么要使用参数绑定,好处在哪里。

一.query.setParameter(属性名,真实值,类型);

String hql="update User u set u.userName=:userName where u.userId=:userId";

Query query  = getSession.createQuery(hql); 

query.setParameter("userName", userName(对应:后面的值), Hibernate.STRING);

query.setParameter("userId", userId(对应:后面的值), Hibernate.INTEGER);

query.executeUpdate();


二.query.setXXXX(属性值,真实值);

String hql="update User u set u.userName=:userName where u.userId=:userId";

query.setString("userName",userName);

query.setInteger("userId",userId);

query.executeUpdate();


三.query.setString(问号位置,真实值);

String hql="update User u set u.userName=? where u.userId=?";

Query query  = getSession.createQuery(hql); 

query.setString(0,userName);

query.setInteger(1,userId);

query.executeUpdate();


四.query.setProperties(对象);

String hql="update User u set u.userName=:userName where u.userId=:userId";

Query query  = getSession.createQuery(hql); 

User user = new User();

user.serUserName("张三");

user.setUserId(2);

query.setProperties(user);

query.executeUpdate();


 

五. 这里还有一个特殊的setEntity()方法,它会把命名参数与一个持久化对象相关联,如下面代码所示:
Customer customer=(Customer)session.load(Customer.class,”1”);
Query query=session.createQuery(“from Order order where order.customer=:customer ”);
query. setProperties(“customer”,customer);
List list=query.list();
上面的代码会生成类似如下的SQL语句:
Select * from order where customer_ID=’1’;


六. 使用绑定参数的优势:
我们为什么要使用绑定命名参数?任何一个事物的存在都是有其价值的,具体到绑定参数对于HQL查询来说,主要有以下两个主要优势:
①、 可以利用数据库实施性能优化,因为对Hibernate来说在底层使用的是PrepareStatement来完成查询,因此对于语法相同参数不同的SQL语句,可以充分利用预编译SQL语句缓存,从而提升查询效率。
②、 可以防止SQL Injection安全漏洞的产生:
SQL Injection是一种专门针对SQL语句拼装的攻击方式,比如对于我们常见的用户登录,在登录界面上,用户输入用户名和口令,这时登录验证程序可能会生成如下的HQL语句:
“from User user where user.name=’” name ”’ and user.password=’” password ”’ ”
这个HQL语句从逻辑上来说是没有任何问题的,这个登录验证功能在一般情况下也是会正确完成的,但是如果在登录时在用户名中输入”zhaoxin or ‘x’=’x”,这时如果使用简单的HQL语句的字符串拼装,就会生成如下的HQL语句:
“from User user where user.name=’zhaoxin’ or ‘x’=’x’ and user.password=’admin’ ”;
显然这条HQL语句的where字句将会永远为真,而使用户口令的作用失去意义,这就是SQL Injection攻击的基本原理。
而使用绑定参数方式,就可以妥善处理这问题,当使用绑定参数时,会得到下面的HQL语句:
from User user where user.name=’’zhaoxin’’ or ‘’x=’’x’’ ‘ and user.password=’admin’;由此可见使用绑定参数会将用户名中输入的单引号解析成字符串(如果想在字符串中包含单引号,应使用重复单引号形式),所以参数绑定能够有效防止SQL Injection安全漏。

posted @ 2016-10-19 11:15  文洁丫头  阅读(2962)  评论(0编辑  收藏  举报