hibernate預編譯
Ⅰ hibernate和mybatis怎麼防止sql注入
SQL注入是一種代碼注入技術,用於攻擊數據驅動的應用,惡意的SQL語句被插入到執行的實體欄位中(例如,為了轉儲資料庫內容給攻擊者)。[摘自] SQL injection - Wikipedia
SQL注入,大家都不陌生,是一種常見的攻擊方式。攻擊者在界面的表單信息或URL上輸入一些奇怪的SQL片段(例如「or 『1』=』1』」這樣的語句),有可能入侵參數檢驗不足的應用程序。所以,在我們的應用中需要做一些工作,來防備這樣的攻擊方式。在一些安全性要求很高的應用中(比如銀行軟體),經常使用將SQL語句全部替換為存儲過程這樣的方式,來防止SQL注入。這當然是一種很安全的方式,但我們平時開發中,可能不需要這種死板的方式。
MyBatis框架作為一款半自動化的持久層框架,其SQL語句都要我們自己手動編寫,這個時候當然需要防止SQL注入。其實,MyBatis的SQL是一個具有「輸入+輸出」的功能,類似於函數的結構,如下:
<select id="getBlogById" resultType="Blog" parameterType=」int」>
SELECT id,title,author,content
FROM blog
WHERE id=#{id}
</select>
這里,parameterType表示了輸入的參數類型,resultType表示了輸出的參數類型。回應上文,如果我們想防止SQL注入,理所當然地要在輸入參數上下功夫。上面代碼中黃色高亮即輸入參數在SQL中拼接的部分,傳入參數後,列印出執行的SQL語句,會看到SQL是這樣的:
SELECT id,title,author,content FROM blog WHERE id = ?
不管輸入什麼參數,列印出的SQL都是這樣的。這是因為MyBatis啟用了預編譯功能,在SQL執行前,會先將上面的SQL發送給資料庫進行編譯;執行時,直接使用編譯好的SQL,替換佔位符「?」就可以了。因為SQL注入只能對編譯過程起作用,所以這樣的方式就很好地避免了SQL注入的問題。
【底層實現原理】MyBatis是如何做到SQL預編譯的呢?其實在框架底層,是JDBC中的PreparedStatement類在起作用,PreparedStatement是我們很熟悉的Statement的子類,它的對象包含了編譯好的SQL語句。這種「准備好」的方式不僅能提高安全性,而且在多次執行同一個SQL時,能夠提高效率。原因是SQL已編譯好,再次執行時無需再編譯。
話說回來,是否我們使用MyBatis就一定可以防止SQL注入呢?當然不是,請看下面的代碼:
<select id="getBlogById" resultType="Blog" parameterType=」int」>
SELECT id,title,author,content
FROM blog
WHERE id=${id}
</select>
仔細觀察,內聯參數的格式由「#{xxx}」變為了「${xxx}」。如果我們給參數「id」賦值為「3」,將SQL列印出來是這樣的:
SELECT id,title,author,content FROM blog WHERE id = 3
(上面的對比示例是我自己添加的,為了與前面的示例形成鮮明的對比。)
<select id="orderBlog" resultType="Blog" parameterType=」map」>
SELECT id,title,author,content
FROM blog
ORDER BY ${orderParam}
</select>
仔細觀察,內聯參數的格式由「#{xxx}」變為了「${xxx}」。如果我們給參數「orderParam」賦值為「id」,將SQL列印出來是這樣的:
SELECT id,title,author,content FROM blog ORDER BY id
顯然,這樣是無法阻止SQL注入的。在MyBatis中,「${xxx}」這樣格式的參數會直接參與SQL編譯,從而不能避免注入攻擊。但涉及到動態表名和列名時,只能使用「${xxx}」這樣的參數格式。所以,這樣的參數需要我們在代碼中手工進行處理來防止注入。
【結論】在編寫MyBatis的映射語句時,盡量採用「#{xxx}」這樣的格式。若不得不使用「${xxx}」這樣的參數,要手工地做好過濾工作,來防止SQL注入攻擊。
#{}:相當於JDBC中的PreparedStatement
${}:是輸出變數的值
簡單說,#{}是經過預編譯的,是安全的;${}是未經過預編譯的,僅僅是取變數的值,是非安全的,存在SQL注入。
如果我們order by語句後用了${},那麼不做任何處理的時候是存在SQL注入危險的。你說怎麼防止,那我只能悲慘的告訴你,你得手動處理過濾一下輸入的內容。如判斷一下輸入的參數的長度是否正常(注入語句一般很長),更精確的過濾則可以查詢一下輸入的參數是否在預期的參數集合中。
Face your past without regret. Handle your present with confidence.Prepare for future without fear. keep the faith and drop the fear. 面對過去無怨無悔,把握現在充滿信心,備戰未來無所畏懼。保持信念,克服恐懼!一點一滴的積累,一點一滴的沉澱,學技術需要不斷的積淀!
Ⅱ hibernate,jpa資料庫連接問題。我沒法確定要連接什麼資料庫,但是我要用原生sql來update數據
寫個適配器器吧,傳入資料庫類型,輸出拼接的sql。
其實個人更建議你使用hibernate的Hql來作sql相關操作,首先它語法和通用Sql是近似的,不一樣的地方在於 語句里寫的是類名 不是表名,最後hibernate會根據Hql翻譯成當前資料庫可執行的sql來執行,這樣你就不需要去判斷究竟是什麼資料庫,寫法支持不支持。
當然,如果你的語句特復雜一定得用Sql server或者Oracle的特殊語法,那沒辦法,寫個適配器吧
以下是HQL相關資料
HQL查詢:
Criteria查詢對查詢條件進行了面向對象封裝,符合編程人員的思維方式,不過HQL(Hibernate Query Lanaguage)查詢提供了更加豐富的和靈活的查詢特性,因此
Hibernate將HQL查詢方式立為官方推薦的標准查詢方式,HQL查詢在涵蓋Criteria查詢的所有功能的前提下,提供了類似標准SQL語句的查詢方式,同時也提供了更
加面向對象的封裝。完整的HQL語句形勢如下:
Select/update/delete…… from …… where …… group by …… having …… order by …… asc/desc
其中的update/delete為Hibernate3中所新添加的功能,可見HQL查詢非常類似於標准SQL查詢。由於HQL查詢在整個Hibernate實體操作體系中的核心地位,這一節我
將專門圍繞HQL操作的具體技術細節進行講解。
1、 實體查詢:
有關實體查詢技術,其實我們在先前已經有多次涉及,比如下面的例子:
String hql=」from User user 」;
List list=session.CreateQuery(hql).list();
上面的代碼執行結果是,查詢出User實體對象所對應的所有數據,而且將數據封裝成User實體對象,並且放入List中返回。這里需要注意的是,Hibernate的實體查
詢存在著對繼承關系的判定,比如我們前面討論映射實體繼承關系中的Employee實體對象,它有兩個子類分別是HourlyEmployee,SalariedEmployee,如果有這樣的
HQL語句:「from Employee」,當執行檢索時Hibernate會檢索出所有Employee類型實體對象所對應的數據(包括它的子類HourlyEmployee,SalariedEmployee對應
的數據)。
因為HQL語句與標准SQL語句相似,所以我們也可以在HQL語句中使用where字句,並且可以在where字句中使用各種表達式,比較操作符以及使用「and」,」or」連接
不同的查詢條件的組合。看下面的一些簡單的例子:
from User user where user.age=20;
from User user where user.age between 20 and 30;
from User user where user.age in(20,30);
from User user where user.name is null;
from User user where user.name like 『%zx%』;
from User user where (user.age%2)=1;
from User user where user.age=20 and user.name like 『%zx%』;
2、 實體的更新和刪除:
在繼續講解HQL其他更為強大的查詢功能前,我們先來講解以下利用HQL進行實體更新和刪除的技術。這項技術功能是Hibernate3的新加入的功能,在Hibernate2
中是不具備的。比如在Hibernate2中,如果我們想將資料庫中所有18歲的用戶的年齡全部改為20歲,那麼我們要首先將年齡在18歲的用戶檢索出來,然後將他們的
年齡修改為20歲,最後調用Session.update()語句進行更新。在Hibernate3中對這個問題提供了更加靈活和更具效率的解決辦法,如下面的代碼:
Transaction trans=session.beginTransaction();
String hql=」update User user set user.age=20 where user.age=18」;
Query queryupdate=session.createQuery(hql);
int ret=queryupdate.executeUpdate();
trans.commit();
通過這種方式我們可以在Hibernate3中,一次性完成批量數據的更新,對性能的提高是相當的可觀。同樣也可以通過類似的方式來完成delete操作,如下面的代碼
:
Transaction trans=session.beginTransaction();
String hql=」delete from User user where user.age=18」;
Query queryupdate=session.createQuery(hql);
int ret=queryupdate.executeUpdate();
trans.commit();
如果你是逐個章節閱讀的化,那麼你一定會記起我在第二部分中有關批量數據操作的相關論述中,討論過這種操作方式,這種操作方式在Hibernate3中稱為bulk
delete/update,這種方式能夠在很大程度上提高操作的靈活性和運行效率,但是採用這種方式極有可能引起緩存同步上的問題(請參考相關論述)。
3、 屬性查詢:
很多時候我們在檢索數據時,並不需要獲得實體對象所對應的全部數據,而只需要檢索實體對象的部分屬性所對應的數據。這時候就可以利用HQL屬性查詢技術
,如下面程序示例:
List list=session.createQuery(「select user.name from User user 」).list();
for(int i=0;i<list.size();i++){
System.out.println(list.get(i));
}
我們只檢索了User實體的name屬性對應的數據,此時返回的包含結果集的list中每個條目都是String類型的name屬性對應的數據。我們也可以一次檢索多個屬性,
如下面程序:
List list=session.createQuery(「select user.name,user.age from User user 」).list();
for(int i=0;i<list.size();i++){
Object[] obj=(Object[])list.get(i);
System.out.println(obj[0]);
System.out.println(obj[1]);
}
此時返回的結果集list中,所包含的每個條目都是一個Object[]類型,其中包含對應的屬性數據值。作為當今我們這一代深受面向對象思想影響的開發人員,可能
會覺得上面返回Object[]不夠符合面向對象風格,這時我們可以利用HQL提供的動態構造實例的功能對這些平面數據進行封裝,如下面的程序代碼:
List list=session.createQuery(「select new User(user.name,user.age) from User user 」).list();
for(int i=0;i<list.size();i++){
User user=(User)list.get(i);
System.out.println(user.getName());
System.out.println(user.getAge());
}
這里我們通過動態構造實例對象,對返回結果進行了封裝,使我們的程序更加符合面向對象風格,但是這里有一個問題必須注意,那就是這時所返回的User對象,
僅僅只是一個普通的java對象而以,除了查詢結果值之外,其它的屬性值都為null(包括主鍵值id),也就是說不能通過Session對象對此對象執行持久化的更新操
作。如下面的代碼:
List list=session.createQuery(「select new User(user.name,user.age) from User user 」).list();
for(int i=0;i<list.size();i++){
User user=(User)list.get(i);
user.setName(「gam」);
session.saveOrUpdate(user);//這里將會實際執行一個save操作,而不會執行update操作,因為這個User對象的id屬性為null,Hibernate會把它作為一個自由對
象(請參考持久化對象狀態部分的論述),因此會對它執行save操作。
}
4、 分組與排序
A、Order by子句:
與SQL語句相似,HQL查詢也可以通過order by子句對查詢結果集進行排序,並且可以通過asc或者desc關鍵字指定排序方式,如下面的代碼:
from User user order by user.name asc,user.age desc;
上面HQL查詢語句,會以name屬性進行升序排序,以age屬性進行降序排序,而且與SQL語句一樣,默認的排序方式為asc,即升序排序。
B、Group by子句與統計查詢:
在HQL語句中同樣支持使用group by子句分組查詢,還支持group by子句結合聚集函數的分組統計查詢,大部分標準的SQL聚集函數都可以在HQL語句中使用,比如:
count(),sum(),max(),min(),avg()等。如下面的程序代碼:
String hql=」select count(user),user.age from User user group by user.age having count(user)>10 」;
List list=session.createQuery(hql).list();
C、優化統計查詢:
假設我們現在有兩張資料庫表,分別是customer表和order表,它們的結構如下:
customer
ID varchar2(14)
age number(10)
name varchar2(20)
order
ID varchar2(14)
order_number number(10)
customer_ID varchar2(14)
現在有兩條HQL查詢語句,分別如下:
from Customer c inner join c.orders o group by c.age;(1)
select c.ID,c.name,c.age,o.ID,o.order_number,o.customer_ID
from Customer c inner join c.orders c group by c.age;(2)
這兩條語句使用了HQL語句的內連接查詢(我們將在HQL語句的連接查詢部分專門討論),現在我們可以看出這兩條查詢語句最後所返回的結果是一樣的,但是它們
其實是有明顯區別的,語句(1)檢索的結果會返回Customer與Order持久化對象,而且它們會被置於Hibernate的Session緩存之中,並且Session會負責它們在緩存
中的唯一性以及與後台資料庫數據的同步,只有事務提交後它們才會從緩存中被清除;而語句(2)返回的是關系數據而並非是持久化對象,因此它們不會佔用
Hibernate的Session緩存,只要在檢索之後應用程序不在訪問它們,它們所佔用的內存就有可能被JVM的垃圾回收器回收,而且Hibernate不會同步對它們的修改。
在我們的系統開發中,尤其是Mis系統,不可避免的要進行統計查詢的開發,這類功能有兩個特點:第一數據量大;第二一般情況下都是只讀操作而不會涉及到對統
計數據進行修改,那麼如果採用第一種查詢方式,必然會導致大量持久化對象位於Hibernate的Session緩存中,而且Hibernate的Session緩存還要負責它們與數據
庫數據的同步。而如果採用第二種查詢方式,顯然就會提高查詢性能,因為不需要Hibernate的Session緩存的管理開銷,而且只要應用程序不在使用這些數據,它
們所佔用的內存空間就會被回收釋放。
因此在開發統計查詢系統時,盡量使用通過select語句寫出需要查詢的屬性的方式來返回關系數據,而避免使用第一種查詢方式返回持久化對象(這種方式是在有
修改需求時使用比較適合),這樣可以提高運行效率並且減少內存消耗。㊣真正的高手並不是精通一切,而是精通在合適的場合使用合適的手段。
5、 參數綁定:
Hibernate中對動態查詢參數綁定提供了豐富的支持,那麼什麼是查詢參數動態綁定呢?其實如果我們熟悉傳統JDBC編程的話,我們就不難理解查詢參數動態綁定,
如下代碼傳統JDBC的參數綁定:
PrepareStatement pre=connection.prepare(「select * from User where user.name=?」);
pre.setString(1,」zhaoxin」);
ResultSet rs=pre.executeQuery();
在Hibernate中也提供了類似這種的查詢參數綁定功能,而且在Hibernate中對這個功能還提供了比傳統JDBC操作豐富的多的特性,在Hibernate中共存在4種參數綁
定的方式,下面我們將分別介紹:
A、 按參數名稱綁定:
在HQL語句中定義命名參數要用」:」開頭,形式如下:
Query query=session.createQuery(「from User user where user.name=:customername and user.customerage=:age 」);
query.setString(「customername」,name);
query.setInteger(「customerage」,age);
上面代碼中用:customername和:customerage分別定義了命名參數customername和customerage,然後用Query介面的setXXX()方法設定名參數值,setXXX()方法包
含兩個參數,分別是命名參數名稱和命名參數實際值。
B、 按參數位置邦定:
在HQL查詢語句中用」?」來定義參數位置,形式如下:
Query query=session.createQuery(「from User user where user.name=? and user.age =? 」);
query.setString(0,name);
query.setInteger(1,age);
同樣使用setXXX()方法設定綁定參數,只不過這時setXXX()方法的第一個參數代表邦定參數在HQL語句中出現的位置編號(由0開始編號),第二個參數仍然代表參
數實際值。
註:在實際開發中,提倡使用按名稱邦定命名參數,因為這不但可以提供非常好的程序可讀性,而且也提高了程序的易維護性,因為當查詢參數的位置發生改變時
,按名稱邦定名參數的方式中是不需要調整程序代碼的。
C、 setParameter()方法:
在Hibernate的HQL查詢中可以通過setParameter()方法邦定任意類型的參數,如下代碼:
String hql=」from User user where user.name=:customername 」;
Query query=session.createQuery(hql);
query.setParameter(「customername」,name,Hibernate.STRING);
如上面代碼所示,setParameter()方法包含三個參數,分別是命名參數名稱,命名參數實際值,以及命名參數映射類型。對於某些參數類型setParameter()方法可
以更具參數值的Java類型,猜測出對應的映射類型,因此這時不需要顯示寫出映射類型,像上面的例子,可以直接這樣寫:
query.setParameter(「customername」,name);但是對於一些類型就必須寫明映射類型,比如java.util.Date類型,因為它會對應Hibernate的多種映射類型,比如
Hibernate.DATA或者Hibernate.TIMESTAMP。
D、 setProperties()方法:
在Hibernate中可以使用setProperties()方法,將命名參數與一個對象的屬性值綁定在一起,如下程序代碼:
Customer customer=new Customer();
customer.setName(「pansl」);
customer.setAge(80);
Query query=session.createQuery(「from Customer c where c.name=:name and c.age=:age 」);
query.setProperties(customer);
setProperties()方法會自動將customer對象實例的屬性值匹配到命名參數上,但是要求命名參數名稱必須要與實體對象相應的屬性同名。
這里還有一個特殊的setEntity()方法,它會把命名參數與一個持久化對象相關聯,如下面代碼所示:
Customer customer=(Customer)session.load(Customer.class,」1」);
Query query=session.createQuery(「from Order order where order.customer=:customer 」);
query. setProperties(「customer」,customer);
List list=query.list();
上面的代碼會生成類似如下的SQL語句:
Select * from order where customer_ID=』1』;
E、 使用綁定參數的優勢:
我們為什麼要使用綁定命名參數?任何一個事物的存在都是有其價值的,具體到綁定參數對於HQL查詢來說,主要有以下兩個主要優勢:
①、 可以利用資料庫實施性能優化,因為對Hibernate來說在底層使用的是PrepareStatement來完成查詢,因此對於語法相同參數不同的SQL語句,可
以充分利用預編譯SQL語句緩存,從而提升查詢效率。
②、 可以防止SQL Injection安全漏洞的產生:
SQL Injection是一種專門針對SQL語句拼裝的攻擊方式,比如對於我們常見的用戶登錄,在登錄界面上,用戶輸入用戶名和口令,這時登錄驗證程序可能會生成如
下的HQL語句:
「from User user where user.name=』」+name+」』 and user.password=』」+password+」』 」
這個HQL語句從邏輯上來說是沒有任何問題的,這個登錄驗證功能在一般情況下也是會正確完成的,但是如果在登錄時在用戶名中輸入」zhaoxin or 『x』=』x」,
這時如果使用簡單的HQL語句的字元串拼裝,就會生成如下的HQL語句:
「from User user where user.name=』zhaoxin』 or 『x』=』x』 and user.password=』admin』 」;
顯然這條HQL語句的where字句將會永遠為真,而使用戶口令的作用失去意義,這就是SQL Injection攻擊的基本原理。
而使用綁定參數方式,就可以妥善處理這問題,當使用綁定參數時,會得到下面的HQL語句:
from User user where user.name=』』zhaoxin』』 or 『』x=』』x』』 『 and user.password=』admin』;由此可見使用綁定參數會將用戶名中輸入的單引號解
析成字元串(如果想在字元串中包含單引號,應使用重復單引號形式),所以參數綁定能夠有效防止SQL Injection安全漏洞。