如何做：java参数绑定防止sql注入如何做

java参数绑定避免sql注入如何做

java参数绑定避免sql注入的方法：

使用positional parameter还是named parameter，例如：

1.使用named parameter方法（在查询字符串中使用：），例如：

usernameString//前台输入的用户名
passwordString//前台输入的密码
//hql语句
String queryString = "from User t where t.username：usernameString and t.password: passwordString";
//履行查询
List result = session.createQuery(queryString)
.setString("usernameString ", usernameString )
.setString("passwordString", passwordString)
.list();

2.使用positional parameter方法（在查询字符串中使用？），例如：

usernameString//前台输入的用户名
passwordString//前台输入的密码
//hql语句
String queryString = "from User t where t.username=? and t.password=?";
//履行查询
List result = session.createQuery(queryString)
.setString(0, usernameString )
.setString(1, passwordString)
.list();