标签: hibernate hql sql-injection
我有一个dao层使用Hibernate作为ORM和hql来创建查询。现在我需要为我的查询添加动态排序,但我发现使用预准备语句是不可能的。我不想将排序列名称连接到查询,因为它会将应用程序公开给sql注入。此外,我无法切换到Hibernate Criteria,因为它需要花费很多精力才能将所有hql查询更改为Hibernate Criteria。是否有任何替代方法可以将列名连接到查询?如果没有其他选择,防止sql注入的好方法是什么?