首先,楼主一定要用占位符的写法,不要去拼字符串了其次,h.agent的这个agent是不是也是个对象?如果是,要精确到内部的属性,比如,h.agent.id=?
外面再把agent.getId()付给它
外面再把agent.getId()付给它
解决方案 »
- 关于servlet处理登录的问题
- 上传文件时,通过SmartUpload的Request总是获取不到表单值
- 出大问题了,服务器被入侵。数据丢失。帮帮忙。
- 有心人 看哈 急 !
- 江湖救急啊!!!!!给100分啊!!!!!急!!!!!!
- 具有挑战性的问题
- 有哪位老大能说一说 IllegalStateException ,
- red hat linux8.0+tomcat4129+jdk1.42+mysql
- jive的jiveHome问题
- 关于乱码的问题
- Caused by: java.lang.ClassNotFoundException: org.hibernate.engine.FilterDefiniti
- birt报表报错
为何一定要占位符? h.agent=? 这种写法是OK的 你那种h.agent.id=? 也是OK的
那LIKE这种呢 %?% 占位符怎么撸?
String hql = "from House h where h.agent=? and h.name like ?";
Query query = session.createQuery(hql);
query.setParameter(0, "xxxx");
query.setParameter(1, "%xxx%");
query.list();
1、代码层次清晰,特别是hql语句很长以后
2、效率上会比拼字符串要高些
3、安全性高,防止sql的注入,好比你的hql语句的查询条件是从前台获取的由用户填写的
例如登陆的时候你需要验证用户名和密码 "from User where username = ‘” + username + "' and password = '" + password + "'"; 如果用户在条件中添加了类似 or 1=1这样的,那么这条语句不管用户和密码是否填写正确都会成立都可以登陆成功。