关于HQL中参数传递与投影的问题

在我们传统的sql语句中，经常给sql语句传递参数来实现查询，但这样很容易产生sql注入，也就是说，如果用户在输入查询条件的输入框写了一些sql语句，将会给我们带来很大的损失。所以HQL中提出了2中传参方式。

(1)位置参数

        String hql = "from Emp where name like ? and age< ?";

        Session session = HibernateUtil.getSession();

        List<Emp> list = session.createQuery(hql).setParameter(0, name + "%")

                .setParameter(1, age).list();

通过？占位符来传递参数，这样不好的地方在于也很顺序传递参数。

(2)命名参数

String hql = "from Emp where name like :name and age<:age";

        Session session = HibernateUtil.getSession();

        List<Emp> list = session.createQuery(hql).setParameter("name",

                name + "%").setParameter("age", age).list();

这种方式成功解决了位置参数的不足，很完美。

投影的问题：所谓投影就是查询部分字段，比如：

String hql="select name,age from Emp where name like ?";

Query query=session.createQuery(hql).setParameter(0, "张%");

        List<Object[]> list=query.list();

但是这样做的返回值是个Object数组，我们都希望返回的是一个对象，这样会比较好处理。

要解决这个问题，我们必须采用构造函数来完成。具体代码如下：

String hql="select new Emp(age,name) from Emp where name like ?";

        Query query=session.createQuery(hql).setParameter(0, "张%");

        List<Emp> list=query.list();
这样可以成功解决这个问题。