Mybatis中LIKE特殊字符处理的解决方案

最新推荐文章于 2024-03-01 10:17:21 发布
最新推荐文章于 2024-03-01 10:17:21 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: Java 文章标签: mybatis java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blog_ShaoHuaiLin/article/details/134162786
版权

在MYSQL中,使用LIKE关键字进行模糊匹配时候,特殊字符是需要转义的,如下: \ 转义成 \\ , _ 转义成 \_ , % 转义成 \%
在mybatis和mybatis-plus中,没有提供相关的方法来自动转义。其实这是符合逻辑的,转义这种事情该交给开发者自己去处理,官方框架不去入侵这种逻辑代码也是为了更好的灵活性。
在业务开发的环境中,往往会有测试提出这样的bug:“输入特殊字符进行筛选,没有过滤掉对应的数据”。像这种问题其实本质上是不应该存在的,在根源上就应该切除掉,就是说禁止输入特殊字符进行筛选。但往往测试和产品他们根本不懂技术,你也别废口舌去和他们争论了。那么我们就来看看如何处理关于LIKE特殊字符转义问题。

方案一:实现mybatis的插件接口

我们知道mybatis提供了插件接口方便开发者进行二次开发。mybatis-plus对mybatis进行了增强,在mybatis-plus中需要实现InnerInterceptor接口进行拦截。如果只是引入的mybatis,则实现Interceptor接口进行拦截。注意一下:
该方案对 like xxx%like %xxx 的查询方式会有一定的局限性。如:
用户输入 = %a 时,业务按照 like xxx% 的语义查询,是查询xxx开头的数据。正常该转义成 like \%a%
用户输入 = a% 时,业务按照 like %xxx 的语义查询,是查询xxx结尾的数据。正常该转义成 like %a\%
但程序在转换时,依然会按照 like %xxx% 的语义去转义。这是不可避免的,因为这确实是歧义的地方。 程序解析 like %a% 时,无法完全地确定哪一部分是用户输入的,所以只有按照标准的 %xxx% 来进行解析转义。
不过在一般的业务查询中,左LIKE 和 右LIKE 很少用到,可以不用考虑此情况。
下面是实现了mybatis-plus的拦截接口,代码如下:

import com.baomidou.mybatisplus.core.toolkit.StringUtils;
import com.baomidou.mybatisplus.extension.plugins.inner.InnerInterceptor;
import lombok.extern.slf4j.Slf4j;
import org.apache.ibatis.executor.Executor;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.reflection.MetaObject;
import org.apache.ibatis.reflection.SystemMetaObject;
import org.apache.ibatis.session.ResultHandler;
import org.apache.ibatis.session.RowBounds;

import java.sql.SQLException;
import java.util.HashSet;
import java.util.Set;

/**
 * @author shaohuailin
 * @date 2023/10/8
 */
@Slf4j
public class LikeEscapeInnerInterceptor implements InnerInterceptor {

    @Override
    public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) throws SQLException {
        escapeLike(boundSql);
    }

    /**
     * like条件中若有关键字,则进行转义
     *
     * @param boundSql
     */
    public void escapeLike(BoundSql boundSql) {
        String sql = boundSql.getSql().toLowerCase();
        if (!sql.contains(" like ") || !sql.contains("?")) {
            return;
        }
        MetaObject parameterObjectMetaObject = SystemMetaObject.forObject(boundSql.getParameterObject());
        String[] strList = sql.split("\\?");
        Set<String> keyNames = new HashSet<>();
        for (int i = 0; i < strList.length; i++) {
            if (strList[i].contains(" like ")) {
                String keyName = boundSql.getParameterMappings().get(i).getProperty();
                keyNames.add(keyName);
            }
        }
        for (String keyName : keyNames) {
            if (parameterObjectMetaObject.hasGetter(keyName)) {
                Object value = parameterObjectMetaObject.getValue(keyName);
                if (value instanceof  String) {
                    String v = (String) value;
                    parameterObjectMetaObject.setValue(keyName, convert(v));
                }
            } else if (boundSql.getParameterObject() instanceof String) {
                String v = (String) boundSql.getParameterObject();
                boundSql.setAdditionalParameter(keyName, convert(v));
            }
        }
    }

    private String convert(String before) {
        char[] chars = before.toCharArray();
        int len = chars.length;
        int offset = 0;
        char[] result = new char[len*2];
        for (int i = 0; i < len; i++) {
            char c = chars[i];
            // 不是首尾的字符,或者首尾不是“%”
            if ((i > 0 && i < len -1) || c != '%') {
                // 特殊字符增加转义
                if (c == '\\' || c == '_' || c == '%') {
                    result[offset++] = '\\';
                }
            }
            result[offset++] = c;
        }
        return new String(result, 0, offset);
    }
}

然后配置MybatisPlusInterceptor即可,需要注意的是,PaginationInnerInterceptor 插件需要在最末尾。

/**
 * @author shaohuailin
 * @date 2023/10/12
 */
@Configuration
public class MybatisPlusConfig {

    @Bean
    public MybatisPlusInterceptor mybatisPlusInterceptor() {
        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
        interceptor.addInnerInterceptor(new LikeEscapeInnerInterceptor());
        interceptor.addInnerInterceptor(new PaginationInnerInterceptor());
        return interceptor;
    }
}

方案二:使用切面结合注解的方式

相对于方案一,该方案的灵活性要高些,可以针对部分接口加特殊字符处理。同时此方案,不会存在方案一中的歧义问题。
首先定义特殊字符处理注解如下:

import java.lang.annotation.*;

/**
 * 转义like特殊字符
 *
 * @author shaohuailin
 * @date 2023/10/12
 */
@Target({ElementType.PARAMETER, ElementType.FIELD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface EscapeLike {
}

配置一个特殊字符处理的切面,如下:

/**
 * 转义like查询特殊字符的切面
 * <p> 在需要转义的属性字段上加{@link EscapeLike} 注解
 *
 * @author shaohuailin
 * @date 2023/10/12
 */
@Slf4j
@Aspect
@Component
public class EscapeLikeAspect {

    @Pointcut("@within(org.springframework.web.bind.annotation.RestController)")
    public void pointcut() {}

    @Around("pointcut()")
    public Object around(ProceedingJoinPoint joinPoint) throws Throwable {
        Object[] args = joinPoint.getArgs();
        MethodSignature signature = (MethodSignature) joinPoint.getSignature();
        Annotation[][] parameterAnnotations = signature.getMethod().getParameterAnnotations();

        for (int i = 0; i < args.length; i++) {
            Object arg = args[i];
            if (arg instanceof String) {
                // 处理字符串参数
                boolean match = Arrays.stream(parameterAnnotations[i]).anyMatch(n -> n instanceof EscapeLike);
                if (match) {
                    // 开始处理
                    args[i] = convert(((String) arg));
                }

            } else {
                // 处理对象参数
                Field[] fields = ClassUtil.getFields(arg);
                for (Field field : fields) {
                    EscapeLike annotation = field.getAnnotation(EscapeLike.class);
                    if (annotation == null) {
                        continue;
                    }
                    String fieldName = field.getName();
                    Object value = ReflectUtil.getValue(arg, fieldName);
                    if (value instanceof String) {
                        ReflectUtil.setValue(arg, field.getName(), convert(((String) value)));
                    }
                }
            }
        }
        return joinPoint.proceed(args);
    }

    /**
     * 特殊字符转换
     *
     * @param before
     * @return
     */
    private String convert(String before) {
        char[] chars = before.toCharArray();
        int len = chars.length;
        int offset = 0;
        char[] result = new char[len*2];
        for (int i = 0; i < len; i++) {
            char c = chars[i];
            // 特殊字符增加转义
            if (c == '\\' || c == '_' || c == '%') {
                result[offset++] = '\\';
            }
            result[offset++] = c;
        }
        return new String(result, 0, offset);
    }
}

代码中所用到的工具类,替换成自己常用的就可以了。注意一下,该方案的 convert 和方案一的 convert 是有区别的哦!这样,在需要增加转义的字段属性加上注解 @EscapeLike 就可以了。

总结

方案一和方案二都解决了like特殊字符的处理,各有利弊吧,得结合实际情况来决定。

邵怀林
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis自定义拦截器,对模糊查询传值的特殊字符(\,_,%)统一进行转义处理的代码
07-27
代码包含: EscapeUtil.java:特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%*%)和半角模糊查询(%*或*%)
MyBatis的like模糊查询包含有特殊字符(_、\、%)
Jasmyn飞飞飞的博客
01-09 4639
参考 在项目测试时候,测试发现了如此bug,当时有点蒙圈,度娘之后,才知道,原来,查询关键字_、\、%,需要转义之后才可以使用,分别转义成\_、\\、\%。在这里\也是需要转义的,所以,具体在代码,就变成了\\\\_、\\\\\\\\、\\\\% ...
mybatis-plus like 查询 转义特殊字符%_\
八重齒
12-22 4021
like CONCAT('%',?,'%') 查询的参数 包含 特殊字符 %_\ 导致结果查询结果不是期望值,被like查询字段值内容包含 %_\ 字符。
使用mybatisplus 进行like 查询查不出来值 在数据库却能查出来值得解决方法
licux的博客
01-29 1719
使用mybatisplus 进行like 查询查不出来值 在数据库却能查出来值得解决方法 JsqlParserCountOptimize sql=SELECT id,name,intro,career,level,avatar,sort,is_deleted,gmt_create,gmt_modified FROM edu_teacher WHERE name LIKE ? AND level = ? ORDER BY gmt_create DESC > Preparing: SELECT
使用mybatis-plus 进行like 查询查不出来值
yyhdyp的博客
01-04 2760
在使用mybatis-plus的like 查询不到值,经过断点调试确定没错,打出SQL日志如下: ==> Preparing: SELECT COUNT(1) FROM edu_teacher WHERE is_deleted = 0 AND teacher_name LIKE ? ==> Parameters: %王%(String) <== Columns: COUNT(1) <== Row: 0 ==> Preparing: SELECT id
自定义插件解决MyBatis-Plus like查询遇_ % \等字符需转译问题(含分页查询)
qq_37857119的博客
02-17 5304
实现MyBatis-Plus自定义插件,解决like预处理参数_ & \通配符转译问题
mysql模糊匹配】LIKE 单个字符 多个字符和like contact,in,mysql正则表达式详细使用:包含,任意字符,区分大小写,依X开头或结尾,OR,范围,范围取反,特殊字符,定位符
qq120631157的博客
04-11 3962
mysql模糊匹配】LIKE 单个字符 多个字符和like contact,in,mysql正则表达式详细使用:包含,任意字符,区分大小写,依X开头或结尾,OR,范围,范围取反,特殊字符,定位符
mybatis 配置 mapper.xml like 模糊查询含有转义字符串(通配符% 、_)的查询
猎人在吃肉
04-21 7948
mysql 的 like 模糊语句的通配符:% 和 _ 。 % :表示任意个或多个字符。可匹配任意类型和长度的字符。 _ :表示任意单个字符。匹配单个任意字符,它常用来限制表达式的字符长度语句:(可以代表一个文字符) 现在有个需求,查询某个字段含有 _ 的所有数据。 第1步,SQL语句编写 如果使用下面的 SQL语句, select * from mytable where content like '%_%' 由于 _ 匹配任意字符串,所以上面的SQL 等于 select * from m
MySQL用LIKE特殊字符搜索
fkk1688的博客
03-06 1140
SQL的LIKE查询语句,有一些特殊的字符,需要转换后才能搜索到结果: ':用于包裹搜索条件,需转为\'; %:用于代替任意数目的任意字符,需转换为\%; _:用于代替一个任意字符,需转换为\_; \:转义符号,需转换为\\\\。 以下是一些匹配的举例。 SELECT * FROM `table` WHERE `title` LIKE 'a\'b%'; -- 搜索a'b... SELECT * FROM `table` WHERE `title` LIKE ...
MySQL模糊查询特殊字符处理
weixin_43155301的博客
08-26 3951
MySQL模糊查询特殊字符处理
mybatis xml特殊字符处理及特殊符号
08-27
主要介绍了mybatis xml特殊字符处理mybatis特殊符号处理技巧,mybatis特殊符号处理给大家介绍了两种写法,感兴趣的朋友一起看看吧
Mybatis特殊字符处理的详解
09-09
主要介绍了Mybatis特殊字符处理的详解的相关资料,需要的朋友可以参考下
Mybatis自定义拦截器,对模糊查询传值的特殊字符统一进行转义处理的代码
08-18
特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%*%)和半角模糊查询(%*或*%)
Mybatis的like模糊查询功能
08-31
主要介绍了Mybatis的like模糊查询功能,非常不错,具有参考借鉴价值,需要的朋友可以参考下
SQLescape的主要用途
雨季不再来的专栏
11-27 2546
1.使用 ESCAPE 关键字定义转义符。 在模式,当转义符置于通配符之前时,该通配符就解释为普通字符。例如,要搜索在任意位置包含字符串 5% 的字符串,请使用: WHERE ColumnA LIKE %5/%% ESCAPE / 2.ESCAPE escape_character 允许在字符串搜索通配符而不是将其作为通配符使用。 escape_character 是放在通
springboot-mybatis常用方法整理(like+转义+批量新增sql组装)
confused_kitten的博客
12-16 822
1.like <select id="selectByCondition" resultMap="BaseResultMap"> <if test=" supplierName != null "><bind name="namecnd" value="'%' + _parameter.supplierName + '%'" /></if> <if test=" address != null "><bind nam
自定义 mybatis-plus 拦截器, 用于转义模糊查询参数特殊字符
最新发布
R先生专栏
03-01 684
自定义 mybatis-plus 拦截器统一处理转义模糊查询参数特殊字符,包括自定义的 sql 语句
mybatis_plus-foreach实现like查询报错SQLSyntaxErrorException: ORA-00909: 参数个数无效
weixin_42754512的博客
01-05 746
错误写法1 <select id="queryCode" parameterType="java.lang.String" resultType="java.lang.String"> SELECT D.CODE FROM T_CODE_PUB_CASCADE_DICTDATA D where D.IS_DEL=0 AND D.TYPE_ID='1031' <if test="typeList!=null and typeList.size > 0".
Mybatis Plugin拦截器处理特殊字符
hangguangd的博客
12-09 1250
为了满足测试大神的要求,于是尝试使用mybatis拦截器,拦截select方法的入参,对入参进行转义,并且对存在入参为实体类时,通过注解+反射的方式获取需要转义的字符。其@Param传参的话是不需要定义注解的,注解的目的是在入参为实体类时进行转义。
mybatislike
06-02
MyBatis ,使用 `<if>` 标签动态生成 SQL 语句时,可以使用 `like` 来模糊匹配查询数据,示例如下: ```xml <select id="getUserList" resultType="User"> SELECT * FROM user <where> <if test="name != null"> and name like concat('%', #{name}, '%') </if> <if test="email != null"> and email like concat('%', #{email}, '%') </if> </where> </select> ``` 在上面的示例,当 `name` 不为 null 时,会生成 `and name like '%${name}%'` 的 SQL 语句,可以模糊匹配包含 `name` 的用户数据。同时,当 `email` 不为 null 时,会生成 `and email like '%${email}%'` 的 SQL 语句,同样可以模糊匹配包含 `email` 的用户数据。需要注意的是,`concat` 函数用于将 `%` 和参数拼接成完整的 `like` 字符串。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值