这是一个创建于 1470 天前的主题,其中的信息可能已经有所发展或是发生改变。
@Override
public DataListPage
String mainStoreId = BusinessUtils.getMainStoreId(branchStoreId);
String listHql = CONSTRUCTOR
+ " FROM TCmsLesson cl, TCmsLessonStoreRel r"
+ " WHERE cl.firstClass = :firstClass"
+ " AND cl.isValid = 1"
+ " AND cl.id = r.lessonId"
+ " AND r.storeId in (:mainStoreId , :branchStoreId , '0000000')";
String countHql = "SELECT COUNT(cl.id) FROM"
+ " TCmsLesson cl, TCmsLessonStoreRel r"
+ " WHERE cl.firstClass = :firstClass"
+ " AND cl.isValid = 1"
+ " AND cl.id = r.lessonId"
+ " AND r.storeId in (:mainStoreId , :branchStoreId , '0000000')";
dataListParams.setDateParam("cl.createDate");
return super.getDataListPageByHql(listHql, countHql, dataListParams, firstClass, mainStoreId, branchStoreId);
}
private List<T> listDataByHql(String hql, DataListParams dataListParams, Object... values) {
if (StringUtils.isNotEmpty(dataListParams.getBeginTime())
&& StringUtils.isNotEmpty(dataListParams.getEndTime())) {
hql = hql + " AND " + dataListParams.getDateParam() + " BETWEEN '" + dataListParams.getBeginTime()
+ "' AND '" + dataListParams.getEndTime() + "'";
} else if (StringUtils.isNotEmpty(dataListParams.getBeginTime())) {
hql = hql + " AND " + dataListParams.getDateParam() + " >= '" + dataListParams.getBeginTime() + "'";
} else if (StringUtils.isNotEmpty(dataListParams.getEndTime())) {
hql = hql + " AND " + dataListParams.getDateParam() + " <= '" + dataListParams.getEndTime() + "'";
}
if (StringUtils.isNotEmpty(dataListParams.getOrderBy())) {
hql = hql + " ORDER BY " + dataListParams.getOrderBy();
}
if (dataListParams.isDesc()) {
hql = hql + " DESC";
}
if (dataListParams.getPage() != null) {
return this.listByPage(hql, dataListParams.getPage(), values);
} else {
return dataListParams.getSize() == 0
? this.listByParamsAndPosition(hql, dataListParams.getStartPosition(), values)
: this.listBySizeAndPosition(hql, dataListParams.getSize(), dataListParams.getStartPosition(),
values);
}
}
 |
1
Kirsk 2020-10-27 12:15:54 +08:00 via Android
罗里八嗦 直接删掉 类型控制应该在逻辑层 dao 只负责执行
|
 |
2
chendy 2020-10-27 12:18:28 +08:00
很有毅力
试试 Criteria ? |
 |
3
geligaoli 2020-10-27 12:46:24 +08:00  2
用字符串拼 sql 的,直接开
|
 |
4
rodrick 2020-10-27 12:52:29 +08:00
虽然很久不搞 java 你要小项目简单 sql 这么搞搞就算了,正规项目这么搞不说别的,写起来不累么,看的都累
|
 |
5
EscYezi 2020-10-27 12:52:58 +08:00 via iPhone
以后维护起来很蛋疼
|
 |
6
wilsonWei 2020-10-27 13:26:49 +08:00
字符串拼接有注入风险吧,看起来也不清晰
|
 |
7
THESDZ 2020-10-27 13:41:44 +08:00
如果一段代码让人看下去的欲望都没有,还是算了吧....
|
 |
9
Resource 2020-10-27 13:47:14 +08:00
不可取
|
 |
10
zouzou0208 2020-10-27 13:47:38 +08:00
这样拼接并且不做保护的话很容易注入的。在 para 里加个 or 1=1 后面就可以加东西了。
|
|
12
zouzou0208 2020-10-27 13:51:41 +08:00
@madworks 那样一般都有正则或者其他的保护的。
|
|
13
THESDZ 2020-10-27 13:53:09 +08:00
@madworks 框架层面的一般是基于反射或者代理等,每一个方法进行封装,查看主体逻辑的时候,配合注释(方法上的 javadoc)看起来并不会难受,而上面的代码,从列名到表名都是手敲的....
|
 |
14
supuwoerc 2020-10-27 13:55:42 +08:00
作为前端路过,刚学完预编译 sql,这样拼接字符串是不是会出现 sql 注入的问题,而且看着好累啊 =。=||
|
|
16
THESDZ 2020-10-27 14:00:52 +08:00
@madworks 是指题目中的代码?hibernate 了解不多,但是据我了解它的目的是让程序员不写 sql,hibernate 应该不会这么写,最起码业务内容和转 sql 是分开考虑的,不会根据逻辑拼接 sql
|
 |
17
fallinlovewith 2020-10-27 14:18:21 +08:00
见过用 String sql = " "+ " "+ "....";
也见过 StringBuilder sb = new StringBuilder(); sb.append("") .append("") ...... |
 |
18
fengpan567 2020-10-27 14:31:54 +08:00
这么拼接不怕 sql 注入?
|
 |
19
buruliu 2020-10-27 14:36:26 +08:00
hql 。
|
 |
20
doudou1523102 2020-10-27 14:47:06 +08:00
看的头痛
|
 |
21
joyhub2140 2020-10-27 14:50:34 +08:00
内部小项目这样子搞没太大问题,商业项目这样子,早晚推倒重做。
|
 |
22
lonelymarried 2020-10-27 14:58:35 +08:00
我刚学 java,如果复杂的查询不这样写,那么怎么写呢。学习一下。
|
 |
23
la2la 2020-10-27 15:04:10 +08:00
我们公司的项目部分接口就是这么搞得,看的脑壳疼。但是领导都没说什么,我还能做啥呢
|
 |
24
somefree 2020-10-27 15:29:19 +08:00
这一看都是上古时期的代码了, 跟我以前的公司代码有的一拼
|
 |
25
fatpower 2020-10-27 15:33:41 +08:00 1
这个不是 sql,是 hql 。
上古时期的代码都这样 |
 |
26
weizhen199 2020-10-27 16:04:48 +08:00
你们仔细看看,我咋觉得这 sql 参数化了??
|
 |
27
madworks OP @weizhen199 什么叫 sql 参数化
|
 |
28
a719031256 2020-10-27 16:21:54 +08:00
人才。。
|
 |
30
aguesuka 2020-10-27 17:45:43 +08:00 via Android
好不好不评价,给几个建议。String hql=前一句加上 // language=HQL (sql jpaql 同理)。参数使用冒号加参数名的格式,然后用 setparammap 或者 setpropsobject 设置参数的值。参数和返回值加上泛型。
java 的 orm 包括不限于 jpa mybatis springtemplate 都不咋地,在面相对象而且自省能力这么弱的语言里发明一种代替 sql 的 dsl 是不可能的。 我能想到的最好办法是整合项目设计的时候不考虑 sql,专门招聘一个实习生来写 dao 层。 |
 |
31
meepo3927 2020-10-27 17:59:16 +08:00
嗯…… 这个换行风格,看着好难受
|
 |
32
akira 2020-10-27 18:07:00 +08:00
不可取。 现在应该都放弃这种写法了吧。 可维护性不是很好
|
 |
33
jin7 2020-10-28 00:06:34 +08:00
看着麻烦
|
 |
34
Joker123456789 2020-11-12 11:15:00 +08:00
首先,你如果问的是把 sql 写在类里面 这种方式可不可取,那我个人认为把 sql 写类里面,和写 xml 里没啥区别, 现在都是 boot 打 jar 包,即使写在 xml 里 也是无法在线上更改的。
无论写哪,只要牵扯到改,都要程序员改完提测 然后重新打包发布,所以写类和写 xml 已经没有本质区别了。 所以,这种写法我个人认为完全没问题,不过肯定会有一些 盲目遵守规范的人 会说不行, 这个就不做争论了。。 其次,如果你问的这你贴出来的这段代码有没有问题,那么其他人已经都告诉你了,你需要让代码分布的更合理一点,然后参数不要拼接,要用占位符。 |
 |
35
ly61 2020-11-19 17:13:18 +08:00
自己写爽不爽我不知道,但是后面维护的人肯定很爽
|
Select Language