1、传参时有可能出现SQL语句注入
StringBuffer sb = new StringBuffer();
if(StringUtils.isNotBlank(areaCode))
{
sb.append("and t.area_code = '").append(areaCode).append("' ");
}
SQLQuery query = getSession().createSQLQuery(sb.toString());
2、传参时避免SQL语句注入(改进方法)
StringBuffer sb = new StringBuffer();
if(StringUtils.isNotBlank(areaCode))
{
sb.append("and t.area_code = :areaCode ");
}
SQLQuery query = getSession().createSQLQuery(sb.toString());
if(StringUtils.isNotBlank(areaCode))
{
query.setParameter("areaCode",areaCode);
}