示例sql语句: String sql = "select t.favorites_id,t.project_id,t.user_id from favorites t, report r where t.project_id=r.report_id and t.user_id='"+userId+"'";
想想该怎么改成一个hql语句呢?
其实很简单,sql和hql是非常相似的(从外形上看),说明他俩会大同小异;但是不同的是,sql是面向过程的写法,而hql语句则是一种面向对象的写法,这点又注定了他俩思想上的分道扬镳。
hql自己的特点:1.一般都是全查,不单独查某几个字段;
2.另一点是hql从一个实体类中查询,而不是表名了;
3.实体类是由from后面的数据库表所映射的。
所以如下;
String hql = "from Favorites f ,Report r where f.project_id=r.report_id and f.user_id=?"; //这里推荐?的占位符写法,可有效防止sql注入。
Query query = session.createQuery(hql);
query.setParameter(0, "xxxx");
query.list();
便完成了。
拓展~用占位符的优点:
1、代码层次清晰,特别是hql语句很长以后
2、效率上会比拼字符串要高些
3、安全性高,防止sql的注入,好比你的hql语句的查询条件是从前台获取的由用户填写的
例如登陆的时候你需要验证用户名和密码
|
1
|
"from User where username = ‘” + username + "' and password = '" + password + "'"; |
如果用户在条件中添加了类似 or 1=1这样的,那么这条语句不管用户和密码是否填写正确都会成立都可以登陆成功。