1、传参时有可能出现SQL语句注入

StringBuffer sb = new StringBuffer();

if(StringUtils.isNotBlank(areaCode))
{
	sb.append("and t.area_code =  '").append(areaCode).append("' ");
}

SQLQuery query = getSession().createSQLQuery(sb.toString());

2、传参时避免SQL语句注入（改进方法）

StringBuffer sb = new StringBuffer();

if(StringUtils.isNotBlank(areaCode))
{
	sb.append("and t.area_code = :areaCode ");
}

SQLQuery query = getSession().createSQLQuery(sb.toString());

if(StringUtils.isNotBlank(areaCode))
{
	query.setParameter("areaCode",areaCode);
}