SQL注入休眠

我正在使用hibernate，我需要替換此查詢以刪除SQL注入。SQL注入休眠

strQry = "FROM xxxx bob WHERE bob.brkxxxId ='" + brkxxxId + "' AND bob.xxxUser ='" + loginUserxxxId + "'"; 
i = session.delete(strQry);

我改寫了這個查詢是這樣的：

session = getSession(); 
    strQry = "FROM xxxxbob bob WHERE bob.brkxxxId = :param1 AND bob.xxxUser = :param2"; 


     Query bobQuery = session.createQuery(strQry); 
     bobQuery.setParameter("param1", brkxxxId); 
     bobQuery.setParameter("param2", xxxUserTaxId); 

     java.util.List bobList = bobQuery.list(); 
     java.util.Iterator bobI1 = bobList.listIterator(); 
    while (bobI1.hasNext()){ 
       mapCache = (BOBMapCache) bobI1.next(); 
       session.delete(mapCache); 
      }

其選擇列表時，即使該數據庫包含的值返回null。我不知道什麼是錯的。照看

來源

2014-03-27 Arun

，爲什麼你不能說 '刪除鮑勃其中bob.brkid = ...' 這樣嗎？ http://docs.jboss.org/hibernate/orm/3.3/reference/en-US/html/batch.html#batch-direct – Zeus

@Zeus我已經檢查過了。但hibernate2中沒有exexuteUpdate（）命令 – Arun

嗨的代碼，我發現當你重寫了你的HQL，你忘了爲實體

session = getSession(); 
strQry = "FROM xxxxbob WHERE bob.brkxxxId = :param1 AND bob.xxxUser = :param2";

請更正創建aliase的HQL到

session = getSession(); 
strQry = "FROM xxxxbob bob WHERE bob.brkxxxId = :param1 AND bob.xxxUser = :param2";

我檢查一遍

 Query bobQuery = session.createQuery(strQry); 
     bobQuery.setParameter("param1", brkxxxId); 
     bobQuery.setParameter("param2", xxxUserTaxId);

您缺少以下代碼段，請修改該代碼

entityManager.createQuery(bobQuery).getResultList();

初始化實體管理器

Session session = HibernateUtil.getSessionFactory().getCurrentSession(); 
    session.beginTransaction(); //Transaction began 
    try { 
    List list=session.createQuery(bobQuery).list(); 
    session.getTransaction().commit(); //Transaction committed 
    Iterator iterator= list.iterator(); 
    } catch (HibernateException e) { 
     e.printStackTrace(); 
    }

來源

2014-03-27 19:40:28

感謝Rahul的回覆，實際上我錯過了添加別名。仍然我得到的結果爲空。 – Arun

Hibernate在HQL的日誌中創建了SQL，並返回...請檢查您的日誌並嘗試運行由休眠狀態手動生成的SQL ..查看結果即將到來或不是。 –

是的，當我手動運行查詢。我還發現，不使用參數，休眠提取查詢，但我需要避免， – Arun

回答

相關問題