這篇文章給大家聊聊關(guān)于hibernate hql，以及hibernate-validator對(duì)應(yīng)的知識(shí)點(diǎn)，希望對(duì)各位有所幫助，不要忘了收藏本站哦。

java如何防止sql注入

java防SQL注入,最簡(jiǎn)單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因?yàn)樵谠蠸QL語(yǔ)句中加入了新的邏輯，如果使用PreparedStatement來(lái)代替Statement來(lái)執(zhí)行SQL語(yǔ)句，其后只是輸入?yún)?shù)，SQL注入攻擊手段將無(wú)效，這是因?yàn)镻reparedStatement不允許在不同的插入時(shí)間改變查詢(xún)的邏輯結(jié)構(gòu),大部分的SQL注入已經(jīng)擋住了,在WEB層我們可以過(guò)濾用戶(hù)的輸入來(lái)防止SQL注入比如用Filter來(lái)過(guò)濾全局的表單參數(shù)

01importjava.io.IOException;

02importjava.util.Iterator;

03importjavax.servlet.Filter;

04importjavax.servlet.FilterChain;

05importjavax.servlet.FilterConfig;

06importjavax.servlet.ServletException;

07importjavax.servlet.ServletRequest;

08importjavax.servlet.ServletResponse;

09importjavax.servlet.http.HttpServletRequest;

10importjavax.servlet.http.HttpServletResponse;

11/**

12*通過(guò)Filter過(guò)濾器來(lái)防SQL注入攻擊

13*

14*/

15publicclassSQLFilterimplementsFilter{

16privateStringinj_str="'|and|exec|insert|select|delete|update|count|*|%

|chr|mid|master|truncate|char|declare|;|or|-|+|,";

17protectedFilterConfigfilterConfig=null;

18/**

19*Shouldacharacterencodingspecifiedbytheclientbeignored?

20*/

21protectedbooleanignore=true;

22publicvoidinit(FilterConfigconfig)throwsServletException{

23this.filterConfig=config;

24this.inj_str=filterConfig.getInitParameter("keywords");

25}

26publicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,

27FilterChainchain)throwsIOException,ServletException{

28HttpServletRequestreq=(HttpServletRequest)request;

29HttpServletResponseres=(HttpServletResponse)response;

30Iteratorvalues=req.getParameterMap().values().iterator();//獲取所有的表單參數(shù)

31while(values.hasNext()){

32String[]value=(String[])values.next();

33for(inti=0;i<value.length;i++){

34if(sql_inj(value[i])){

35//TODO這里發(fā)現(xiàn)sql注入代碼的業(yè)務(wù)邏輯代碼

36return;

37}

38}

39}

40chain.doFilter(request,response);

41}

42publicbooleansql_inj(Stringstr)

43{

44String[]inj_stra=inj_str.split("\\|");

45for(inti=0;i<inj_stra.length;i++)

46{

47if(str.indexOf(""+inj_stra[i]+"")>=0)

48{

學(xué)習(xí)資源

百度搜索圈T社區(qū)（www.aiquanti.com）免費(fèi)視頻教程

hibernate和mybatis的區(qū)別

答：mybatis與hibernate一樣是個(gè)orm數(shù)據(jù)庫(kù)框架。它與hibernate區(qū)別是非常大的，有以下幾點(diǎn)：

總結(jié)起來(lái)：

mybatis：小巧、方便、高效、簡(jiǎn)單、直接、半自動(dòng)

hibernate：強(qiáng)大、方便、高效、復(fù)雜、繞彎子、全自動(dòng)

1.hibernate是全自動(dòng)，而mybatis是半自動(dòng)。

hibernate完全可以自動(dòng)生成sql。而mybatis僅有基本的字段映射，仍然需要通過(guò)手寫(xiě)sql來(lái)實(shí)現(xiàn)和管理。

2.hibernate數(shù)據(jù)庫(kù)移植性遠(yuǎn)大于mybatis。

hibernate通過(guò)它強(qiáng)大的映射結(jié)構(gòu)和hql語(yǔ)言，大大降低了對(duì)象與數(shù)據(jù)庫(kù)（oracle、mysql等）的耦合性，而mybatis由于需要手寫(xiě)sql，移植性也會(huì)隨之降低很多，成本很高。

3.hibernate擁有完整的日志系統(tǒng)，mybatis則欠缺一些。

hibernate日志系統(tǒng)非常健全，涉及廣泛，而mybatis則除了基本記錄功能外，功能薄弱很多。

4.mybatis相比hibernate需要關(guān)心很多細(xì)節(jié)

hibernate配置要比mybatis復(fù)雜的多，學(xué)習(xí)成本也比mybatis高。但也正因?yàn)閙ybatis使用簡(jiǎn)單，才導(dǎo)致它要比hibernate關(guān)心很多技術(shù)細(xì)節(jié)。mybatis由于不用考慮很多細(xì)節(jié)，開(kāi)發(fā)模式上與傳統(tǒng)jdbc區(qū)別很小，hibernate則正好與之相反。但是如果使用hibernate很熟練的話(huà)，實(shí)際上開(kāi)發(fā)效率絲毫不差于甚至超越mybatis。

5.sql直接優(yōu)化上，mybatis要比hibernate方便很多

由于mybatis的sql都是寫(xiě)在xml里，因此優(yōu)化sql比hibernate方便很多。而hibernate的sql很多都是自動(dòng)生成的，無(wú)法直接維護(hù)sql；總之寫(xiě)sql的靈活度上hibernate不及mybatis。

mybatis：

1.入門(mén)簡(jiǎn)單，即學(xué)即用，提供了數(shù)據(jù)庫(kù)查詢(xún)的自動(dòng)對(duì)象綁定功能。

2.可以進(jìn)行更為細(xì)致的SQL優(yōu)化，可以減少查詢(xún)字段。

3.缺點(diǎn)就是框架還是比較簡(jiǎn)陋，功能尚有缺失，雖然簡(jiǎn)化了數(shù)據(jù)綁定代碼，但是整個(gè)底層數(shù)據(jù)庫(kù)查詢(xún)實(shí)際還是要自己寫(xiě)的，工作量也比較大，而且不太容易適應(yīng)快速數(shù)據(jù)庫(kù)修改。

4.二級(jí)緩存機(jī)制不佳。

hibernate：

1.功能強(qiáng)大，數(shù)據(jù)庫(kù)無(wú)關(guān)性好，O/R映射能力強(qiáng)。

2.有更好的二級(jí)緩存機(jī)制，可以使用第三方緩存。

3.缺點(diǎn)就是學(xué)習(xí)門(mén)檻不低，要精通門(mén)檻更高，而且怎么設(shè)計(jì)O/R映射，在性能和對(duì)象模型之間如何權(quán)衡取得平衡，以及怎樣用好Hibernate方面需要你的經(jīng)驗(yàn)和能力都很強(qiáng)才行。

舉個(gè)形象的比喻：

mybatis：機(jī)械工具，使用方便，拿來(lái)就用，但工作還是要自己來(lái)作

hibernate：智能機(jī)器人，但研發(fā)它（學(xué)習(xí)、熟練度）的成本很高，工作都可以擺脫他了，但僅限于它能做的事。

hibernate為什么要有方言HQL是什么

首先數(shù)據(jù)庫(kù)都是支持sql的，不過(guò)不同的數(shù)據(jù)庫(kù)會(huì)存在一些語(yǔ)法上面的差異，而方言則是解決hql翻譯成sql保證語(yǔ)法的正確。

hql則是基于對(duì)象的查詢(xún)語(yǔ)言，hibernate會(huì)結(jié)合對(duì)象的配置文件以及方言，將寫(xiě)的hql翻譯成sql。至于為什么要這么做，假如系統(tǒng)需要數(shù)據(jù)庫(kù)的變換時(shí)，那么用hibernate的話(huà)就只需要改一改配置文件（修改連接字符串、驅(qū)動(dòng)類(lèi)、方言等），而用傳統(tǒng)的jdbc時(shí)，那么sql語(yǔ)言可能就要有很多改動(dòng)，基本就是dao層重寫(xiě)一遍吧。

“mybatis”和“hibernate”的區(qū)別是什么

mybatis與hibernate一樣是個(gè)orm數(shù)據(jù)庫(kù)框架。它與hibernate區(qū)別是非常大的，有以下幾點(diǎn)：

總結(jié)起來(lái)：

mybatis：小巧、方便、高效、簡(jiǎn)單、直接、半自動(dòng)

hibernate：強(qiáng)大、方便、高效、復(fù)雜、繞彎子、全自動(dòng)

1.hibernate是全自動(dòng)，而mybatis是半自動(dòng)。

hibernate完全可以自動(dòng)生成sql。而mybatis僅有基本的字段映射，仍然需要通過(guò)手寫(xiě)sql來(lái)實(shí)現(xiàn)和管理。

2.hibernate數(shù)據(jù)庫(kù)移植性遠(yuǎn)大于mybatis。

hibernate通過(guò)它強(qiáng)大的映射結(jié)構(gòu)和hql語(yǔ)言，大大降低了對(duì)象與數(shù)據(jù)庫(kù)（oracle、mysql等）的耦合性，而mybatis由于需要手寫(xiě)sql，移植性也會(huì)隨之降低很多，成本很高。

3.hibernate擁有完整的日志系統(tǒng)，mybatis則欠缺一些。

hibernate日志系統(tǒng)非常健全，涉及廣泛，而mybatis則除了基本記錄功能外，功能薄弱很多。

4.mybatis相比hibernate需要關(guān)心很多細(xì)節(jié)

hibernate配置要比mybatis復(fù)雜的多，學(xué)習(xí)成本也比mybatis高。但也正因?yàn)閙ybatis使用簡(jiǎn)單，才導(dǎo)致它要比hibernate關(guān)心很多技術(shù)細(xì)節(jié)。mybatis由于不用考慮很多細(xì)節(jié)，開(kāi)發(fā)模式上與傳統(tǒng)jdbc區(qū)別很小，hibernate則正好與之相反。但是如果使用hibernate很熟練的話(huà)，實(shí)際上開(kāi)發(fā)效率絲毫不差于甚至超越mybatis。

5.sql直接優(yōu)化上，mybatis要比hibernate方便很多

由于mybatis的sql都是寫(xiě)在xml里，因此優(yōu)化sql比hibernate方便很多。而hibernate的sql很多都是自動(dòng)生成的，無(wú)法直接維護(hù)sql；總之寫(xiě)sql的靈活度上hibernate不及mybatis。

mybatis：

1.入門(mén)簡(jiǎn)單，即學(xué)即用，提供了數(shù)據(jù)庫(kù)查詢(xún)的自動(dòng)對(duì)象綁定功能。

2.可以進(jìn)行更為細(xì)致的SQL優(yōu)化，可以減少查詢(xún)字段。

3.缺點(diǎn)就是框架還是比較簡(jiǎn)陋，功能尚有缺失，雖然簡(jiǎn)化了數(shù)據(jù)綁定代碼，但是整個(gè)底層數(shù)據(jù)庫(kù)查詢(xún)實(shí)際還是要自己寫(xiě)的，工作量也比較大，而且不太容易適應(yīng)快速數(shù)據(jù)庫(kù)修改。

4.二級(jí)緩存機(jī)制不佳。

hibernate：

1.功能強(qiáng)大，數(shù)據(jù)庫(kù)無(wú)關(guān)性好，O/R映射能力強(qiáng)。

2.有更好的二級(jí)緩存機(jī)制，可以使用第三方緩存。

3.缺點(diǎn)就是學(xué)習(xí)門(mén)檻不低，要精通門(mén)檻更高，而且怎么設(shè)計(jì)O/R映射，在性能和對(duì)象模型之間如何權(quán)衡取得平衡，以及怎樣用好Hibernate方面需要你的經(jīng)驗(yàn)和能力都很強(qiáng)才行。

舉個(gè)形象的比喻：

mybatis：機(jī)械工具，使用方便，拿來(lái)就用，但工作還是要自己來(lái)作

hibernate：智能機(jī)器人，但研發(fā)它（學(xué)習(xí)、熟練度）的成本很高，工作都可以擺脫他了，但僅限于它能做的事。

java如何防sql攻擊

java防SQL注入,最簡(jiǎn)單的辦法是杜絕SQL拼接,SQL注入攻擊能得逞是因?yàn)樵谠蠸QL語(yǔ)句中加入了新的邏輯，如果使用PreparedStatement來(lái)代替Statement來(lái)執(zhí)行SQL語(yǔ)句，其后只是輸入?yún)?shù)，SQL注入攻擊手段將無(wú)效，這是因?yàn)镻reparedStatement不允許在不同的插入時(shí)間改變查詢(xún)的邏輯結(jié)構(gòu),大部分的SQL注入已經(jīng)擋住了,在WEB層我們可以過(guò)濾用戶(hù)的輸入來(lái)防止SQL注入比如用Filter來(lái)過(guò)濾全局的表單參數(shù)。下面就舉三個(gè)例子來(lái)說(shuō)明一下：

第一種：

采用預(yù)編譯語(yǔ)句集，它內(nèi)置了處理SQL注入的能力，只要使用它的setString方法傳值即可，如下所示：

Stringsql="select*fromuserswhereusername=?andpassword=?;PreparedStatementpreState=conn.prepareStatement(sql);preState.setString(1,userName);preState.setString(2,password);ResultSetrs=preState.executeQuery();...

第二種：

采用正則表達(dá)式將包含有單引號(hào)(')，分號(hào)(;)和注釋符號(hào)(--)的語(yǔ)句給替換掉來(lái)防止SQL注入，如下所示：

publicstaticStringTransactSQLInjection(Stringstr)

{

returnstr.replaceAll(".*([';]+|(--)+).*","");

}

userName=TransactSQLInjection(userName);

password=TransactSQLInjection(password);

Stringsql="select*fromuserswhereusername='"+userName+"'andpassword='"+password+"'"

Statementsta=conn.createStatement();

ResultSetrs=sta.executeQuery(sql);

第三種：

使用Hibernate框架的SQL注入防范Hibernate是目前使用最多的ORM框架，在JavaWeb開(kāi)發(fā)中，很多時(shí)候不直接使用JDBC，而使用Hibernate來(lái)提高開(kāi)發(fā)效率。

在Hibernate中，仍然不應(yīng)該通過(guò)拼接HQL的方式，而應(yīng)使用參數(shù)化的方式來(lái)防范SQL注入。有兩種方式，一種仍然是使用JDBC一樣的占位符“?”，但更好的方式是使用Hibernate的命名參數(shù)，例如檢測(cè)用戶(hù)名和密碼是否正確，使用Hibernate可以寫(xiě)成如下：

StringqueryStr=“fromuserwhereusername=:username”+”password=:password”;

Listresult=session.createQuery(queryStr).setString("username",username).setString("password",password).list();

OK，本文到此結(jié)束，希望對(duì)大家有所幫助。