首页

在 JPA 标准 API 中使用参数表达式与变量

java api criteria jpa
2022-09-02 14:09:06

使用 JPA 标准 API 时,直接使用 ParameterExpression 比使用变量有什么优势?例如,当我希望在String变量中按名称搜索客户时,我可以写一些类似的东西

private List<Customer> findCustomer(String name) {
    CriteriaBuilder cb = em.getCriteriaBuilder();
    CriteriaQuery<Customer> criteriaQuery = cb.createQuery(Customer.class);
    Root<Customer> customer = criteriaQuery.from(Customer.class);
    criteriaQuery.select(customer).where(cb.equal(customer.get("name"), name));
    return em.createQuery(criteriaQuery).getResultList();
}

使用参数,这将变为:

private List<Customer> findCustomerWithParam(String name) {
    CriteriaBuilder cb = em.getCriteriaBuilder();
    CriteriaQuery<Customer> criteriaQuery = cb.createQuery(Customer.class);
    Root<Customer> customer = criteriaQuery.from(Customer.class);
    ParameterExpression<String> nameParameter = cb.parameter(String.class, "name");
    criteriaQuery.select(customer).where(cb.equal(customer.get("name"), nameParameter));
    return em.createQuery(criteriaQuery).setParameter("name", name).getResultList();
}

为了简洁起见,我更喜欢第一种方法,特别是当查询变长时,可选参数。使用这样的参数(如SQL注入)是否有任何缺点?


答案 1

你可以像这样使用 ParameterExpression:假设你有一些输入过滤器,一个例子可能是这样的:

  • 在查询中,您必须检查会计代码的值。

让我们开始吧:首先创建 criteriaQuery 和 criteriaBuilder 和 root 

        CriteriaBuilder cb = _em.getCriteriaBuilder();
        CriteriaQuery<Tuple> cq = cb.createTupleQuery();
        Root<RootEntity> soggettoRoot = cq.from(RootEntity.class);

1) 初始化谓词列表(用于 where 子句)和参数列表(用于参数)

Map<ParameterExpression,String> paramList = new HashMap();
List<Predicate> predicateList = new ArrayList<>();

2 )检查输入是否为空并创建谓词列表和参数

if( input.getFilterCF() != null){
            //create ParameterExpression
            ParameterExpression<String> cf = cb.parameter(String.class);


           //if like clause
            predicateList.add(cb.like(root.<String>get("cf"), cf));
            paramList.put(cf , input.getFilterCF() + "%");

           //if equals clause
           //predicateList.add(cb.equal(root.get("cf"), cf));   
           //paramList.put(cf,input.getFilterCF()());
        }

3) 创建 where 子句

 cq.where(cb.and(predicateList.toArray(new   Predicate[predicateList.size()])));
TypedQuery<Tuple> q = _em.createQuery(cq);

4) 设置参数值

        for(Map.Entry<ParameterExpression,String> entry : paramList.entrySet())
        {
            q.setParameter(entry.getKey(), entry.getValue());
        }

答案 2

使用参数时,SQL 可能会(取决于 JPA 实现、正在使用的数据存储和 JDBC 驱动程序)优化为 JDBC 参数,因此,如果您使用参数的不同值执行相同的操作,它将使用相同的 JDBC 语句。

SQL注入始终取决于开发人员是否验证了用作参数的某些用户输入。


推荐
更多 »
标签
更多 »
php pass-by-reference optional-parameters default-value javascript arrays dom function string object serialization tostring visibility syntax jslint use-strict operators equality equality-operator identity-operator datetime timestamp date-arithmetic redirect angularjs loops foreach iteration scope variables
推荐
更多 »