2回答
我正在使用Hibernate,我知道您可以使用HQL阻止SQL注入:String query2 = "fromObj where id = :id";
query1是不安全的,而query2是安全的。如何实现有条件的安全查询?这是不是已经实现了,或者我还需要做一些其他的事情?
浏览 6提问于2015-07-09得票数 2
我讨厌Ruby语言,因为它不是静态类型的,但我花在Spring/Hibernate上的时间越多,我就越欣赏Ruby on Rails的特性。具体地说,他们的活动记录模型会阻止SQL注入。使用Spring/Hibernate堆栈通常是如何处理这个问题的?它们中的哪一个都附带了某种清理工具包,以确保用户输入的安全性?
浏览 0提问于2011-01-27得票数 18
回答已采纳
3回答
我正在尝试运行以下查询,并得到一个空指针异常。我已经验证了WHERE lockedTimestamp <= (GETDATE() - CAST('00:06' AS datetime)是有效的msSQL,因为我可以手动运行它,它会工作得很好。看起来HQL (Hibernate Query Language)可能不喜欢它。有什么想法可以让我去调试它吗?
浏览 6提问于2012-05-22得票数 1
回答已采纳
date“列被定义为字符串,它的值类似于"131120”(第一个两位数表示年份,第二个两位数表示年份,最后两位数表示日期)。我需要一个使用Hibernate的基于日期的排序输出。执行此操作的SQL查询如下所示:当我从命令提示符尝试时,这个sql查询</e
浏览 2提问于2013-11-21得票数 0
我需要从Hibernate查询中获取字符串,并在稍后处理它(所以我不能用"hibernate.show_sql"解决它)。我已经看过了,但是通过这个变通方法,我得到了SQL查询字符串,但它并没有显示参数值,而是显示了‘?’……有没有办法获得带有参数值的完整SQL字符串?我的意思是,有了这个解决方案,我得到了"SELE
浏览 6提问于2012-07-30得票数 12
回答已采纳
为了避免sql注入,通常可以在HQL中使用位置参数和命名参数,因为它演示和堆栈溢出也有示例。我想知道当Criteria是示例代码或有用链接的used.Any帮助时,可以采取哪些步骤。比方说,对象可能有一个字符串变量,而且某个对象可以为它分配一个易受攻击的sql查询。或者其他避免这种sql注入的步骤?
浏览 4提问于2012-04-12得票数 5
回答已采纳
2回答
这可能是一个愚蠢的问题,但我还没有在文档中看到任何明确说明标准查询是参数化的,或者是以其他方式被注入保护的。criteriaBuilder.like( "%"+userInput+"%"
)
浏览 1提问于2017-04-07得票数 4
回答已采纳
2回答
有没有办法从bean实例中生成Insert SQL查询?也许使用Hibernate代码?编辑
我似乎不太明白,所以让我解释一下:我知道如何坚持使用Hibernate。我想要的是生成SQL查询本身的实际类。最终将提交给DB的相同查询。但我需要查询字符串。也就是说,我需要一个工具(或者使用Hibernate的类),它获取一个对象并返
浏览 3提问于2013-01-16得票数 2
回答已采纳
3回答
我刚刚在分析器下测试了我的应用程序,发现sql字符串使用了大约30%的内存!这很奇怪。select avatardata0_.Id as Id4305_0_,...... where avatardata0_.Id=?for update
这是我无法理解的部分。为什么<e
浏览 0提问于2012-02-26得票数 22
在使用Hibernate构建查询时,我注意到了一些非常奇怪的事情。ORDER BY :orderProperty :orderDirection");createSQLQuery("SELECT* FROM my_entity_table ORDER BY :orderProperty :orderDirection");
我知道Hibernate正在为HQL查
浏览 0提问于2015-11-10得票数 2
回答已采纳
我知道spring和hibernate受到SQL注入的保护。
提前谢谢..。
浏览 1提问于2016-10-14得票数 1
回答已采纳
我在@过渡性方法中执行查询时遇到了一个问题@Test@Transactional
System.out.println("sql查询中获得任何结果。如果我只评论第13行,那么我将得到标准搜索和sql搜索<
浏览 1提问于2015-11-19得票数 3
基本休眠问题这里,我想对用户提供的列使用sum()聚合函数,我已经尝试了下面的查询,但它似乎不起作用,有人能告诉我吗?
浏览 0提问于2012-01-06得票数 0
回答已采纳
1回答
有什么简单的方法可以在参数替换之后获得一个完整的SQL语句吗?生成以下sql字符串:
“从用户哪里选择* NAME=?
浏览 1提问于2016-02-18得票数 2
今天我遇到了一些使用Hibernate执行查询的代码。查询使用从表单提交的值。这让我很好奇这类代码是否会“消毒”它的输入。
浏览 2提问于2013-04-06得票数 7
回答已采纳
我想用一个简单的select查询来测试Hibernate,但是它从不运行主文件。<clinit>mai 03, 2016 8:58:30 PM org.hibernate.VersionlogVersionmai 03, 2016 8:58:30 PM or
浏览 1提问于2016-05-03得票数 2
有人要求我从MySQL中的视图输出CSV文件。我目前正在编写的应用程序使用Spring和Hibernate创建数据库,但是视图只是交给我。Hibernate对这个视图一无所知,但我想这样做: return (List<Object>) getHibernateTemplate().find("from myView");我的猜测是,我可以映射一个本地查询,以便<em
浏览 0提问于2010-08-06得票数 2
回答已采纳
2回答
我有一个现有的代码,其中应用程序生成不同的sql,依赖于许多条件,并通过hibernate会话createSQLQuery()执行它们。在这里,参数连接到驻留在java类中的sql字符串,作为普通的字符串替换。这里的问题是我现在需要防止sql注入。因此,我必须使用getNamedQuery()并绑定参数,以便hibernate能够处理特殊字符。但问题是,将字符串sql</e
浏览 3提问于2013-05-29得票数 0
回答已采纳
我有一个非常大的sql查询(多个连接-多个表),我使用hibernate.The从多个表中检索数据,sql作为最终字符串保存在一个常量的java接口中,我在hibernate原生sql中使用它来执行查询现在,我可以在hibernate映射xml文件中将查询change.Can为命名查询,而无需为该查询创建任何实体类。我不想把这个大查询</
浏览 0提问于2014-08-02得票数 0
我的目标是拦截由JPA生成的带有Hibernate的“原始”SQL查询(这个原始请求非常复杂,通过JPA标准API生成,有时需要快速更改,因此我不能直接移动到原生SQL),对它进行一些更改( Hibernate我现在面临的挑战是:
我提取的SQL字符串与执行原始查询时输出的hibernate日志完全相同。它有利于日志记录,但
浏览 2提问于2021-09-03得票数 1
云服务器
ICP备案
实时音视频
对象存储
云直播
腾讯云开发者
