hql 参数绑定 笔记（HQL parameter binding note）.doc

hql 参数绑定 笔记（HQL parameter binding note） : jdbc 中: preparestatement pre = connection.prepare (select * from users where =? ); pre.setstring (1, zhaoxin); resultset rs = pre.executequery (); : 如果在 hibernate 中 调用 jdbc: session.begintransaction trans = (). connection conn = session.connection (); preparedstatement stmt = conn.preparestatement (sql); stmt.executeupdate (); stmt.execute (); mit (); hibernate 中: to): 按照参数名称绑定: / / 可以级联的去写 query query = session.createquery (from user u where = username); query.setstring (username, 秦强强); / / (命名参数名称, 命名参数实际的值) / /: username 定义了命名参数, 相当于 =? , 然后设置? 的值 / / (b) 按照参数位置绑定: / / 不提倡 可读性差 query query = session.createquery (from user user where =? and user.age =? ); query.setstring (0, name); / / 按照? 的 位置设置实际的参数 query.setinteger (1, 3). (c): setparameter () 方法: / / 可以绑定任意类型的参数 / / 推荐 string hql = from user user where = username; query query = session.createquery (hql); query.setparameter (customername name, hibernate.string); / / 命名参数名称, 命名参数实际值, 命名参数映射类型. / / 对于一些基本类型, hibernate 可以猜测出参数映射类型, 但是date类型不可以. / / 应为它会对应hibernate的多种映射类型, 像是 hibernate.date, hibernate.timestamp (d): setproperties () (注意 ies 复数} 方法: / / setentity (); 将命名参数的值和一个对象的属性值绑定 customer customer = new customer (); customer.setname (pansl); customer.setage (80). query query = session.createquery (from customer c where =: name and c.age =: age). query.setproperties (customer); setproperties () 方法会自动将customer对象实例的属性值匹配到命名参数上, 但是要求命名参数名称必须要与实体对象相应的属性同名. 这里还有一个特殊的setentity () 方法, 它会把命名参数与一个持久化对象相关联, 如下面代码所示: customer customer = (customer) session.load (customer.class, 1). query query = session.createquery (from order order where order.customer =: customer); The query. Setentity (customer, customer); List list = query.list (); 上面的代码会生成类似如下的sql语句: Select * from order where customer _ id = 1; (E): 参数绑定的好处; 1: 用好有可读性; 2: 对于语法相同, 参数不同的 SQL 语句, 可以利用预编译的sql语句缓存, 提高性能; 3: 会将 单引号? 解析? ? SQL injection是一种专门针对sql语句拼装的攻击方式, 比如对于我们常见的用户登录, 在登录界面上, 用户输入用户名和口令, 这时登录验证程序可能会生成如下的hql语