Hibernate對注入的簡單測試
0x00 背景
前段時間遇到一個使用了Hibernate框架的站,以前沒怎麼接觸過(由於是Java盲,所以大家勿噴),再注入的事情發生了許多奇奇怪怪的事情,於是向本地搭一個看看是個神馬情況。Hibernate配備了一種非常強大的查詢語言,這種語言看上去很像SQL。但是不要被語法結構上的相似所迷惑,HQL是非常有意識的被設計為完全物件導向的查詢。
0x01 測試
本次測試的環境是JDK5.0+Tomcat8+Hibernate3.0+Servlet。資料庫情況如下:
透過百度知道Hibernate的查詢大概有5、6種,透過分析對注入能產生不同影響的應該有如下三種:
1、HQL方式
2、原生SQL方式
3、Criteria方式
重點是HQL方式,HQL相當於Hibernate自己有一套SQL語法,在用Hibernate作為查詢中間層的時候,它會將你寫的HQL翻譯成對應資料庫的SQL語句,Hibernate支援N種資料庫。
會一丟丟Java的童鞋都知道Hibernate的使用流程:
首先要告訴Hibernate資料庫的連線資訊,hibernate.cfg.xml檔案:
#!xml
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE hibernate-configuration PUBLIC "-//Hibernate/Hibernate Configuration DTD 3.0//EN" "http://hibernate.sourceforge.net/hibernate-configuration-3.0.dtd">
<!-- Generated by MyEclipse Hibernate Tools. -->
<hibernate-configuration>
<session-factory>
<property name="dialect">org.hibernate.dialect.Oracle9Dialect</property>
<property name="connection.url">jdbc:oracle:thin:@192.168.79.151:1521:orcl</property>
<property name="connection.username">system</property>
<property name="connection.password">xxoo</property>
<property name="connection.driver_class">oracle.jdbc.driver.OracleDriver</property>
<property name="myeclipse.connection.profile">oracle_connet</property>
<mapping resource="com/mytest/map/Userlist.hbm.xml"/>//這裡是包含表的對映檔案
</session-factory>
</hibernate-configuration>
其實是對映你想使用的資料表(系統會按照表明自動生成檔案,比如我的Userlist表會生成Userlist.hbm.xml),Userlist.hbm.xml檔案:
分別將ID、USERNAME、USERPWD列對映為id、username、userpwd,而在實際環境中,開發者可能對映成他們喜歡的名字。
注:
1、未對映的表是不能查詢的;
2、使用對映後表名、列名時大小寫敏感;
3、不能使用資料庫中的列名,比如USERNAME對映為username之後,不能再使用USERNAME,否則報錯。
#!xml
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE hibernate-mapping PUBLIC "-//Hibernate/Hibernate Mapping DTD 3.0//EN" "http://hibernate.sourceforge.net/hibernate-mapping-3.0.dtd">
<!-- Mapping file autogenerated by MyEclipse Persistence Tools -->
<hibernate-mapping>
<class name="com.mytest.map.Userlist" table="USERLIST" schema="SYSTEM">
<id name="id" type="java.math.BigDecimal">
<column name="ID" precision="22" scale="0"/>
<generator class="assigned"/>
</id>
<property name="username" type="java.lang.String">
<column name="USERNAME" length="20" not-null="true"/>
</property>
<property name="userpwd" type="java.lang.String">
<column name="USERPWD" length="30" not-null="true"/>
</property>
</class>
</hibernate-mapping>
1、原生的HQL方式:大概程式碼:
try{
s=HibernateSessionFactory.getSession();
tx=s.beginTransaction();
Query query=s.createQuery("from Userlist as u where username='" +userName + "'");
Qstring=query.getQueryString(); //
Iterator it = query.iterate();
//這是Iterate資料返回方式
List it=query.list();//這是List資料返回方式 //
ul = (Userlist) it.next();
ul=(Userlist)it.get(0);
mUserPwd=ul.getUserpwd();
}catch (Exception e) {
System.out.println(e.getMessage());
return e.getMessage();
}//這裡加了返回丟擲的異常的程式碼
tx.commit(); //關閉連線
HibernateSessionFactory.closeSession();
上面提到的Iterate和List資料返回方式沒發現對注入產生多大的影響,他們呢的具體差別請google。
使用單引號測試(有返回異常的程式碼,資料庫報錯):
使用單引號測試(沒有返回異常的程式碼,預設情況,Tomcat報錯):
And 'a'='a
And 'a'='b
跨庫查系統表?想都不要想:
*號也是不能用滴:
不支援union:
單獨內嵌select作為條件(正常執行):
單獨執行substr(),ASCII()函式沒問題:
但是執行
ASCII(SUBSTR((select userpwd from Userlist where ROWNUM=1),1,1))>0
就不行了:
結論:這裡能爆的列還得看前面那個select的心情。
小刺蝟和它的小夥伴們都驚呆了:
對於第二種使用原生SQL的方式,寫法大概是這樣:
s=HibernateSessionFactory.getSession();
tx=s.beginTransaction();
Query query=s.createSQLQuery("select USERPWD from Userlist where USERNAME='" +userName + "'");
Qstring=query.getQueryString();
List it = query.list();
mUserPwd=(String)it.get(0);
就不多說了,就可普通注入一樣。毫無壓力:
說說第三種,寫法大概是這樣:
s=HibernateSessionFactory.getSession();
List UserLists=s.createCriteria(Userlist.class).add(Restrictions.eq("username",userNameString)).list();
Userlist u=(Userlist)UserLists.get(0);
mUserPwd=u.getUserpwd();
如果說我們在HQL下還能用
ascii(substr(userpwd,1,1))>1
來猜解前面SELECT中選擇的列中有的列的內容的話,那麼在第三種Criteria方式下,基本就絕望了:
本來要結束的時候,我發現了第四種,是HQL的另一種寫法,大概程式碼這麼寫:
s=HibernateSessionFactory.getSession();
tx=s.beginTransaction();
Query query=s.createSQLQuery("select {p.*} from Userlist {p} where {p}.USERNAME="+userNameString).addEntity("p", Userlist.class);
Qstring=query.getQueryString();
List it = query.list();
mUserPwd=(String)it.get(0);
貌似這樣的也沒得玩,歇菜了:
0x02 總結
最後:時間有限,只做了字元型的簡單粗淺表面測試,拋個磚,希望有更多經驗的留言啊,畢竟這方面的資料網上真心極少,為了方便大眾,請大牛們現身說法。
相關文章
- 簡單的 ping 測試
- SAP Spartacus OccEndpointsService單元測試的依賴注入依賴注入
- 使用python對oracle進行簡單效能測試PythonOracle
- 建立簡單的表測試
- try的簡單效能測試
- 簡單談一下我對持續測試下的測試左移、迭代測試和測試右移的理解吧
- 簡單對比測試了幾個基於 swoole 的框架框架
- 讓 API 測試變的簡單API
- mysql簡單效能測試MySql
- Oracle logmnr簡單測試Oracle
- Hibernate--單表對映總結
- 簡單的神經網路測試神經網路
- Date簡單型別的setter注入型別
- Jmeter效能測試簡單使用JMeter
- SQL MAP 注入測試SQL
- sql注入簡單總結SQL
- 搞定Go單元測試(四)—— 依賴注入框架(wire)Go依賴注入框架
- 【PG效能測試】pgbench效能測試工具簡單使用
- 一個簡單的介面測試框架 demo框架
- InnoSetup簡單教程一,安裝使用和簡單測試
- 記一次簡單的vue元件單元測試Vue元件
- 記一次想簡單化的單元測試
- WinForm依賴注入簡單使用ORM依賴注入
- Java面試題:讓依賴注入變得簡單,面對@Autowired和@Resource,該如何選擇?Java面試題依賴注入
- EasyReact的簡單試用及和RAC的對比React
- jest對react單元測試框架React框架
- ahas不支援對測試域的機器進行故障注入嗎?
- 簡單聊聊智慧硬體的韌體測試
- 最簡單的微服務部署測試實踐微服務
- 用trait實現簡單的依賴注入AI依賴注入
- 簡單歡樂的依賴注入函式依賴注入函式
- spring1.2+hibernate3.0+junit3.8+jdk1.4的單元測試異常解決方法SpringJDK
- [20190301]簡單測試linux fsfreeze命令.txtLinux
- C++ 巢狀類簡單測試C++巢狀
- Python容器相關簡單效能測試Python
- 單元測試:單元測試中的mockMock
- Hibernate框架簡介⑤框架
- Hibernate框架簡介④框架