MyBatis Plus Wrapper 参数化处理和防止 SQL 注入

于 2024-06-05 10:42:06 发布
阅读量747 收藏 14
点赞数 13
文章标签: mybatis sql oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85480529/article/details/139465789
版权

MyBatis Plus 是 MyBatis 的增强版,提供了许多便捷功能来简化开发流程。在参数化处理方面,MyBatis Plus 通过 Wrapper 类(如 QueryWrapperUpdateWrapper)来构建动态 SQL 查询,并确保安全性。下面详细解释 MyBatis Plus 的工作原理,尤其是如何进行参数化处理和防止 SQL 注入。

MyBatis Plus 的基本概念

  1. Wrapper 类:MyBatis Plus 提供了多个 Wrapper 类,如 QueryWrapperUpdateWrapperLambdaQueryWrapper 等,用于构建条件查询、更新和删除操作。Wrapper 类通过链式调用来构建 SQL 语句。
  2. 自动参数化Wrapper 类自动将查询条件参数化,防止 SQL 注入。
  3. 简化操作:MyBatis Plus 还提供了丰富的 CRUD 接口,简化了数据库操作。

Wrapper 类及其工作原理

Wrapper 类用于构建查询条件,并确保条件中的参数自动进行参数化处理。以 QueryWrapper 为例,下面是它的工作流程:

  1. 创建 QueryWrapper 实例:使用 QueryWrapper 来构建查询条件。
  2. 链式调用方法:通过链式调用方法来添加查询条件。
  3. 生成 SQL 语句QueryWrapper 会生成带有占位符的 SQL 语句。
  4. 参数绑定:MyBatis Plus 在执行 SQL 时,会将实际的参数值绑定到占位符上。

具体示例

以下是一个使用 QueryWrapper 的示例:

QueryWrapper<User> queryWrapper = new QueryWrapper<>();
queryWrapper.eq("name", userInput);
List<User> users = userMapper.selectList(queryWrapper);

  1. 创建 QueryWrapper 实例

    QueryWrapper<User> queryWrapper = new QueryWrapper<>();

  2. 链式调用方法添加查询条件

    queryWrapper.eq("name", userInput);

  3. 生成 SQL 语句
    MyBatis Plus 会生成如下带有占位符的 SQL 语句:

    SELECT * FROM user WHERE name = ?

  4. 参数绑定
    userInput 的值会被安全地绑定到 ? 参数上,从而防止 SQL 注入。

执行查询

通过调用 userMapper.selectList(queryWrapper) 来执行查询操作:

List<User> users = userMapper.selectList(queryWrapper);

复杂查询示例

MyBatis Plus 的 Wrapper 类还支持更复杂的查询条件。例如:

QueryWrapper<User> queryWrapper = new QueryWrapper<>();
queryWrapper.eq("name", userInput)
            .ge("age", minAge)
            .le("age", maxAge)
            .like("email", emailPattern);
List<User> users = userMapper.selectList(queryWrapper);

生成的 SQL 语句可能类似于:

SELECT * FROM user WHERE name = ? AND age >= ? AND age <= ? AND email LIKE ?

内部机制

MyBatis Plus 通过以下步骤确保安全性和灵活性:

  1. 构建条件表达式Wrapper 类的链式调用方法会构建一个条件表达式对象,包含字段名、操作符和参数值。
  2. 生成带占位符的 SQLWrapper 类将条件表达式转换为带有占位符的 SQL 片段。
  3. 参数绑定:在 SQL 执行阶段,MyBatis Plus 将参数值绑定到相应的占位符上,确保 SQL 语句的安全性。

避免 SQL 注入

通过使用 Wrapper 类和 #{} 占位符,MyBatis Plus 确保了所有的查询条件都经过参数化处理,防止了 SQL 注入风险。这是因为:

  • 占位符使用#{} 占位符会将参数值作为预编译的参数绑定到 SQL 语句中。
  • 条件构造器Wrapper 类会将查询条件转换为带有占位符的安全 SQL 片段。

总结

MyBatis Plus 提供了强大的 Wrapper 类,用于构建安全的动态 SQL 查询。通过自动参数化处理,MyBatis Plus 确保了 SQL 语句的安全性,有效防止了 SQL 注入风险。使用 Wrapper 类可以极大简化复杂查询的构建过程,同时保证了查询的安全性。

2401_85480529
关注
  • 13
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Mybatis plus增强工具包-其他
06-13
Mybatis-plus是MyBatis增强工具包,用于简化CRUD操作。该工具包为MyBatis提供了一些高效,有用,即用的功能,使用它可以有效地节省您的开发时间。 Mybatis-plus特征: 与MyBatis完全兼容 启动时自动配置 开箱即用的...
mybatis-plus-3.0
04-13
例如,只需定义实体类和Mapper接口,MyBatis-Plus会自动生成对应的SQL语句。 2. **条件构造器**:提供Lambda表达式或QueryWrapper进行条件查询,使得构建复杂查询变得更加方便。比如,可以轻松地根据条件组合SQL,...
Mybatis-SQL注入
BtWangZhi的博客
05-05 1965
/** * 测试sql注入攻击-sql会睡眠5秒才返回 */ @Test public void test02() { QueryWrapper<Result> queryWrapper = new QueryWrapper<>(); queryWrapper.select(Result.ID); String param = "' and (select * from (select sle...
QueryWrapper可避免大多数的SQL注入风险
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-19 1812
QueryWrapperMyBatis-Plus 中的一个功能,它提供了一种链式查询条件的方式,使得构建查询条件更加直观和简洁。虽然QueryWrapper提供了一个更加现代化和方便的方式来构建查询,但它并不完全替代传统的 SQL 拼接。
MyBatis Plus<=3.5.6 存在 SQL 注入漏洞
xixixixixixixi21的博客
06-05 562
收到 SQL 注入漏洞影响的版本,由于 UpdateWrapper 类未对用户可控的参数进行过滤导致存在 SQL 注入漏洞,攻击者可基于布尔盲注窃取数据库敏感信息。MyBatis Plus 属于 MyBatis 的增强工具,目的时用于简化数据库开发,并提高开发效率。
MybatisPlus如何解决SQL注入(必看)
海的那边,还是海吗
09-22 7429
在深入讨论如何防止 SQL 注入之前,让我们首先了解 SQL 注入攻击的工作原理。SQL 注入攻击通常发生在接受用户输入的地方,例如搜索框、登录表单等,攻击者试图在输入中注入恶意 SQL 代码。SELECT * FROM users WHERE username = '输入的用户名' AND password = '输入的密码';如果攻击者输入这将使查询始终返回所有用户的记录,因为'1'='1'始终为真。攻击者可以通过这种方式绕过身份验证,获取或修改敏感数据。
mybatis如何防止SQL注入
zjjcchina的博客
02-15 3683
sql注入发生的时间,sql注入发生的阶段在sql预编译阶段,当编译完成的sql不会产生sql注入 一、采用jdbc操作数据时候 String sql = "update ft_proposal set id = "+id; PreparedStatement prepareStatement = conn.prepareStatement(sql); prepareStatement.executeUpdate(); 复制代码 preparedStatement 预
Mybatis是怎样防止SQL注入
Rainy_Peking的专栏
06-16 440
1. SQL注入为什么会发生? 数据库在编译SQL语句时将恶意的or,1=1等语句作为保留字段进行编译,导致查询结果不可控。 2. 什么是yu'bian
MybatisPlus--SQL注入器进行自定义注入sql和方法
热门推荐
诗水人间
08-18 12万+
SQL注入器的官方文档 三步完成 第一步、创建一个类,主要目的将方法和sql做映射 需要自定义sql,如下定义了一个sql语句: myDefineSql ="delete from "+tableInfo.getTableName();//构造一条delete from user,待注入sql预编译语句 methodName:方法名,也就是用来映射方法名和执行的sql 通过继承AbstractMethod重写方法讲预编译sql和方法名进行绑定,返回MappedStatement对象 import com.
MyBatis-Plus 分页查询以及自定义sql分页的实现
09-07
public class MyBatisPlusConfig { @Bean public PaginationInterceptor paginationInterceptor() { return new PaginationInterceptor(); } } ``` 配置完成后,MyBatis-Plus 将自动处理分页逻辑。 ## 三、...
支持连表查询的mybatis-plus
04-21
6. **JDBC与MyBatis-Plus**:MP底层依然依赖于JDBC,但它通过简化API和自动化处理,使得开发者无需直接处理JDBC的繁琐操作,比如预编译SQL、设置参数、结果集转换等,从而提高了开发效率。 7. **学习与实践**:如果...
mybatis-plus源码(mybatis-plus-3.5.1.zip)
03-03
通过阅读源码,我们可以了解到MyBatis-Plus是如何将用户操作转化为SQL语句的,以及它是如何处理各种数据库交互细节的。这对于理解框架的工作原理、优化数据库操作和进行二次开发都具有重要的参考价值。同时,学习...
急速解决代码扫描MybatisSQL注入问题
变个魔术
03-25 1046
在后端代码和数据库中都开启对sql注入的验证,同时用专业的注入工具查找本系统的漏洞进行修复,也可以进行账号诱骗,将一些如“admin”之类的容易受到攻击的用户设置上千位的密码,让攻击者的软件因为解析量大而负载过大,从而耗尽资源而宕机。sql注入见名知意,是指一些非法用户通过将一些特殊字符或者sql语句插入到要提交的表单之中,从而让服务器在不知情的情况下执行恶意的sql命令,从而引发一系列的安全隐患。这就是典型的系统漏洞,因此sql注入对系统的危害是非常大的,做好防止sql注入也是系统必须完善的。
mybatis plus 查询的几种方式
m0_60961213的博客
09-26 1947
select 指定SQL查询字段 SQL SET 字段 Wrapper方法 mybatis in
MyBatis Plus条件构造器使用
weixin_43852018的博客
11-21 132
MyBatis Plus条件构造器之Wrapper使用.png 1Wrapper: 条件构造抽象类,最顶端父类 1.1 AbstractWrapper: 用于查询条件封装,生成 sql 的 where 条件 1.2 QueryWrapper: Entity 对象封装操作类,不是用lambda语法 1.3 UpdateWrapper: Update 条件封装,用于Entity对象更新操作 1.4 AbstractLambdaWrapper: Lambda 语法使用 Wrapper统一处理解析 lamb..
Mybatis-plus中自定义的sql语句调用QueryWrapper实现查询和具体实现
sunshinezx8023的博客
04-14 1万+
需求 项目中需要实现自定义的查询,但是仍然想用QueryWrapper对象里面的那些查询, 在接口中方法中:@Param(Constants.WRAPPER) QueryWrapper<T> queryWrapper; 里面的Constants.WRAPPER其实就是:"ew" 在我们的Mapper.xml文件中: 直接使用:${ew.customSqlSegment} 就可以调用QueryWrapper对象的条件sql <select id="selectCustEx..
MyBatis-Plus 使用wrapper自定义SQL
cimbala的博客
09-02 1899
{ew.customSqlSegment}相当于 where + queryWrapper内的条件。
mybats-puls---条件构造器Wrapper,插件扩展,SQL注入器,公共字段填充
guoguo0717的博客
05-20 489
条件构造器Wrapper(看官网即可) 代码生成器 AutoGenerator 是 MyBatis­Plus 的代码生成器,通过 AutoGenerator 可以快速生成 Entity、Mapper、Mapper XML、Service、Controller 等各个模块 的代码,极大的提升了开发效率。 其实在学习mybatis的时候我们就使用过逆向工程,根据我们的数据表 来生成的对应的实体类,DAO接口和Mapper映射文件,而MyBatis­plus提供了 更加完善的功能,下面来针对两种方式做一个基本的对
QueryWrapper.formatSqI用法
最新发布
06-29
`QueryWrapper.formatSql(String sql)` 是 MyBatis-Plus 中 `QueryWrapper` 类的一个方法,用于格式化 SQL 语句。`QueryWrapper` 是 MyBatis-Plus 提供的一个强大的 SQL 构建工具,它可以帮助开发者更方便地构建动态 SQL 查询。 这个方法接受一个字符串参数 `sql`,通常是你手动编写或者从其他地方获取的 SQL 查询语句。当你使用 `formatSql()` 方法时,MyBatis-Plus 会尝试将其转换为安全的、不会执行恶意代码的格式,以便在打印日志或者调试时展示出来,而不是直接执行。 例如,如果你有一个未经过处理的用户输入作为 SQL 条件,你可能会使用 `formatSql()` 来确保在打印或记录它时,不会因为潜在的 SQL 注入风险而暴露敏感信息。 使用 `formatSql()` 的一个场景是: ```java String userCondition = ...; // 用户输入的查询条件 QueryWrapper<User> wrapper = new QueryWrapper<>(); wrapper.eq("username", userCondition); // 使用 QueryWrapper 构建动态 SQL String formattedSql = wrapper.formatSql(); // 对 SQL 进行格式化并输出 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值