hql语句准确写法
hql语句正确写法String hql from House h where h.agent+agent+ and h.name LIKE % + findUcBlur+
hql语句正确写法
String hql = "from House h where h.agent="+agent+" and h.name LIKE '%" + findUcBlur+ "%'";
com.vins.web.frame.exception.DaoException: unexpected char: '@' [from com.paiwei.site.entity.House h where h.agent=com.xx.ee.entity.Agent@68049b03 and h.name LIKE '%1%']
这种写法报以上错误 agent为一个pojo类 findUcBlur是string
String hql = "from House h where h.agent=? and h.name LIKE %?%";[
这种写法也不行
String hql = "from House h where h.agent=? and h.name LIKE '%" + findUcBlur
+ "%'";[
这种写法可以通过
请问大家这种情况pojo类跟like同时存在的情况,能否统一风格?
[解决办法]首先,楼主一定要用占位符的写法,不要去拼字符串了
其次,h.agent的这个agent是不是也是个对象?如果是,要精确到内部的属性,比如,h.agent.id=?
外面再把agent.getId()付给它
[解决办法]你想统一格式的话要么全部用占位符咯
String hql = "from House h where h.agent=? and h.name like ?";
Query query = session.createQuery(hql);
query.setParameter(0, "xxxx");
query.setParameter(1, "%xxx%");
query.list();
[解决办法]用占位符的优点:
1、代码层次清晰,特别是hql语句很长以后
2、效率上会比拼字符串要高些
3、安全性高,防止sql的注入,好比你的hql语句的查询条件是从前台获取的由用户填写的
例如登陆的时候你需要验证用户名和密码
"from User where username = ‘” + username + "' and password = '" + password + "'";
如果用户在条件中添加了类似 or 1=1这样的,那么这条语句不管用户和密码是否填写正确都会成立都可以登陆成功。