Hibernate query language 简称HQL,是实际开发中最长的hibernate查询封装模式。
HQL提供了更加接近传统SQL语句的查询方法:
<span style="font-family:Verdana;font-size:14px;">[select/update/delete…] [from…][where…][groupby…] [having …][order by…]</span>
实体查询:
<span style="font-family:Verdana;font-size:14px;">String hql =”from TUser”; Query query =session.createQuery(hql); List uerlist = query.list();</span>
其中“from TUser ”==sql 中的select * from TUser。是插询所有实体,如果TUser下面有子类表,那么子类表的所有数据也都会查出来。
如何查询指定实体:
<span style="font-family:Verdana;font-size:14px;">String hql = “from TUser (as) userwhere user.name=’****’”</span>
属性查询:
查询所有实体的name属性集合:
<span style="font-family:Verdana;font-size:14px;">List list =session.createQuery(“selectuser.name,user.age from TUser as user”).list();</span>
查询age =15 的name属性集合:
<span style="font-family:Verdana;font-size:14px;">List list =session.createQuery(“selectuser.name,user.age from TUser as user where age =’15’”).list();</span>
更新:
<span style="font-family:Verdana;font-size:14px;">Transaction tx =session.beginTransaction();//引用事务 String hql =”update TUser set age =18 whereid =1”; Query query =session.createQuery(hql); .query.executeUpdate(); .tx.commit</span>
删除:
<span style="font-family:Verdana;font-size:14px;"> String hql=“delete TUser whereage=18”;</span>
上处的hql中,参数直接表示在hql中,这样会引发一个问题,类似原SQL中的SQL注入事件。例如当你登录输入用户名时: ‘liming’ or ‘x’=’x’,这样传入到hql语句时显示如下:
<span style="font-family:Verdana;font-size:14px;"> From TUser user where user.name=’liming’ or‘x’=’x’ and user.pwd=’***’ ……</span>
这时可以看出密码判断部分是逻辑真,既只要name值正确了,有没有密码都会成功登录的。于是类似于jdbc的SQL一样,hibernate通过顺序占位符“?”规避了这个问题。既在查询时将传入的参数用“?”代替。
HQL和SQL很类似,刚开始使用时还很不适应,现在回头看,两者是如此的相似。
时间: 2024-10-03 14:55:33