18

使用 JPA Criteria API 时,直接使用 ParameterExpression 而非变量有什么优势?例如,当我希望在字符串变量中按名称搜索客户时,我可以编写类似

private List<Customer> findCustomer(String name) {
    CriteriaBuilder cb = em.getCriteriaBuilder();
    CriteriaQuery<Customer> criteriaQuery = cb.createQuery(Customer.class);
    Root<Customer> customer = criteriaQuery.from(Customer.class);
    criteriaQuery.select(customer).where(cb.equal(customer.get("name"), name));
    return em.createQuery(criteriaQuery).getResultList();
}

使用参数,这变为:

private List<Customer> findCustomerWithParam(String name) {
    CriteriaBuilder cb = em.getCriteriaBuilder();
    CriteriaQuery<Customer> criteriaQuery = cb.createQuery(Customer.class);
    Root<Customer> customer = criteriaQuery.from(Customer.class);
    ParameterExpression<String> nameParameter = cb.parameter(String.class, "name");
    criteriaQuery.select(customer).where(cb.equal(customer.get("name"), nameParameter));
    return em.createQuery(criteriaQuery).setParameter("name", name).getResultList();
}

为简洁起见,我更喜欢第一种方式,尤其是当查询因可选参数而变长时。使用像 SQL 注入这样的参数有什么缺点吗?

4

3 回答 3

3

你可以像这样使用 ParameterExpression:假设你有一些输入过滤器,一个例子可能是这样的:

  • 在您的查询中,您必须检查财务代码的值。

让我们开始吧: 首先创建 criteriaQuery 和 criteriaBuilder 和 root 

        CriteriaBuilder cb = _em.getCriteriaBuilder();
        CriteriaQuery<Tuple> cq = cb.createTupleQuery();
        Root<RootEntity> soggettoRoot = cq.from(RootEntity.class);

1)初始化一个 predicateList(用于 where 子句)和一个 paramList(用于 param)

Map<ParameterExpression,String> paramList = new HashMap();
List<Predicate> predicateList = new ArrayList<>();

2 ) 检查输入是否为空并创建 predicateList 和 param

if( input.getFilterCF() != null){
            //create ParameterExpression
            ParameterExpression<String> cf = cb.parameter(String.class);


           //if like clause
            predicateList.add(cb.like(root.<String>get("cf"), cf));
            paramList.put(cf , input.getFilterCF() + "%");

           //if equals clause
           //predicateList.add(cb.equal(root.get("cf"), cf));   
           //paramList.put(cf,input.getFilterCF()());
        }

3)创建where子句

 cq.where(cb.and(predicateList.toArray(new   Predicate[predicateList.size()])));
TypedQuery<Tuple> q = _em.createQuery(cq);

4 ) 设置参数值

        for(Map.Entry<ParameterExpression,String> entry : paramList.entrySet())
        {
            q.setParameter(entry.getKey(), entry.getValue());
        }
于 2017-03-15T16:08:31.867 回答
0

使用参数时,可能(取决于 JPA 实现、使用的数据存储和 JDBC 驱动程序)SQL 将优化为 JDBC 参数,因此如果您使用不同的参数值执行相同的操作,它会使用相同的 JDBC 语句。

SQL 注入始终取决于开发人员是否验证某些用作参数的用户输入。

于 2013-05-08T10:36:50.250 回答
0

在第二种情况下,您不必要地使用 ParameterExpression。CriteriaQuery 的 where() 方法接受一个 Predicate 作为其参数。

而不是这个:

ParameterExpression<String> nameParameter = cb.parameter(String.class, "name");
criteriaQuery.select(customer).where(cb.equal(customer.get("name"), nameParameter));
return em.createQuery(criteriaQuery).setParameter("name", name).getResultList();

你可以简单地使用这个:

Predicate predicate = cb.equal(customer.get("name"), name);
criteriaQuery.select(customer).where(predicate);
return em.createQuery(criteriaQuery).getResultList();

ParameterExpression 能够通过其 in()、isNull()、isNotNull() 方法为您生成谓词,请参阅文档。在我看来,这将是它的主要优势。

注意:可以像您一样使用 ParameterExpression,这相当于将命名参数传递给 JPQL 查询。

于 2020-11-18T13:59:22.350 回答