Hibernate防止SQL注入攻击的方法如果在查询字段中输入单引号"'"，则会报错，这是因为输入

Hibernate防止SQL注入攻击的方法

　　如果在查询字段中输入单引号"'"，则会报错，这是因为输入的单引号和其他的sql组合在一起编程了一个新的sql，实际上这就是SQL注入漏洞，后来我在前台和后台都对输入的字符进行了判断。

　　永远也不要写这样的代码：

　　String queryString = "from Item i where i.description like '" + searchString + "'";
　　 List result = session.createQuery(queryString).list();

　　如果用户输入:foo' and callSomeStoredProcedure() and 'bar' = 'bar，则你的程序在执行一个简单查询后，还会调用某个存储过程，

　　这样你的程序就开了一个安全漏洞，如果用户偶尔输入了一个单引号，你的程序就可能报错。

　　永远也不要把未经检查的用户输入的值直接传给数据库！

　　幸运的时有一个简单的机制可以避免这种错误：

　　JDBC在绑定参数时有一个安全机制，它可以准确的将那些需要转义的字符进行转义（escape），

　　如上面的searchString，它被escape，不再作为一个控制字符了，而是作为被查询的匹配的字符串的一部分。（这里指的是prepared statement，而是用普通的statment不行，我试过）。

　　另外，如果我们使用参数绑定，还可以提高数据库的执行效率，prepared statement语句被编译一次后，被放在cache中，就不再需要编译，可以提高效率。

　　参数绑定有2种办法：使用positional parameter或者named parameter。

　　Hibernate支持JDBC样式的positional parameter（查询字符串中使用？），它同使用named parameter的效果一样（查询字符串中使用:）。

　　使用named parameter

　　使用named parameter，我们重新写上面的查询语句：

　　String queryString = "from Item item where item.description like :searchString";

　　冒号后面是一个named parameter，我们可以使用Query接口将一个参数绑定到searchString参数上：

　　List result = session.createQuery(queryString)
　　　　　　　　　　　.setString("searchString", searchString)
　　　　　　　　　　　.list();

　　因为searchString是一个用户输入的字符串，所以我们使用Query的setString()方法进行参数绑定，这样代码更清晰，更安全，效率更好！

　　如果有多个参数需要被帮定，我们这样处理：

　　String queryString = "from Item item "
　　　　　　　　　　　　　 + "where item.description like :searchString "
　　　　　　　　　　　　　 + "and item.date > :minDate";
List result = session.createQuery(queryString)
　　　　　　　　　.setString("searchString", searchString)
　　　　　　　　　 .setDate("minDate", minDate)
　　　　　　　　　.list();

　　使用positional parameter

　　如果你喜欢，也可以使用positional parameter：

　　String queryString = "from Item item "
　　　　　　　　　　　　　 + "where item.description like "
　　　　　　　　　　　　　 + "and item.date > ";
List result = session.createQuery(queryString)
　　　　　　　　　.setString(0, searchString)
　　　　　　　　　.setDate(1, minDate)
　　　　　　　　　.list();

　　这段代码可读性强不如上面的强，而且可维护性差，如果我们的查询稍微改变一点，将第一个参数和第二个参数改变一下位置：

　　String queryString = "from Item item "
　　　　　　　　　　　　　　+ "where item.date > "
　　　　　　　　　　　　　 + "and item.description like ";

　　这样我们的代码中涉及到位置的地方都要修改，所以我们强烈建议使用named parameter方式进行参数绑定。

　　最后，在named parameter中可能有一个参数出现多次的情况，应该怎么处理呢？

　　String userSearch = "from User u where u.username like :searchString"
　　　　　　　　　　　　　 + " or u.email like :searchString";
List result = session.createQuery(userSearch)
　　　　　　　　　.setString("searchString", searchString)
　　　　　　　　　 .list();

　　不要使用

　　为了防止SQL注入，避免使用拼凑SQL语句的方式！！！

　　在Hibernate+Spring中getHibernateTemplate()返回的对象可以调用find(String queryString, Object value...Object value)来实现 named parameter。比如：

　　view plain

Date startTime = new Date();
Date endTime = new Date();
String queryString = "from SdmsRacalertLog as log where" +
" log.alertTime between :startTime and :endTime" ;
return getHibernateTemplate().find(queryString, startTime, endTime);