自定义 mybatis-plus 拦截器, 用于转义模糊查询参数中的特殊字符

最新推荐文章于 2024-06-05 14:27:36 发布
最新推荐文章于 2024-06-05 14:27:36 发布
阅读量970 收藏 9
点赞数 8
分类专栏: Java 文章标签: mybatis java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Greenarrow961224/article/details/136388641
版权
  • 上代码

public class EscapeLikeSqlInterceptor implements InnerInterceptor {
    /**
     * 点
     */
    public static final String DOT = ".";
 
    /**
     * 按?分割字符串表达式
     */
    public static final String PLACEHOLDER_REGEX = "\\?";
 
    /**
     * 按.分割字符串表达式
     */
    public static final String DOT_REGEX = "\\.";
 
    /**
     * like操作通配符
     */
    public static final char LIKE_WILDCARD_CHARACTER = '%';
 
    /**
     * like操作通常会存在的占位符形式
     */
    public static final String PLACEHOLDER = " ?";
 
    /**
     * 条件构造器生成sql特有的参数名前缀
     */
    public static final String WRAPPER_PARAMETER_PROPERTY = "ew.paramNameValuePairs.";
 
    /**
     * like语句在sql中的字符串
     */
    private final String LIKE_SQL = " like ";
 
    /**
     * 不应用此拦截器的参数名,方法参数中有此名称的参数则不应用此拦截器
     */
    private final String IGNORE = "EscapeLikeSqlIgnore";
 
    @Override
    public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) throws SQLException {
        if (parameter instanceof Map) {
            Map<?, ?> parameterMap = (Map<?, ?>) parameter;
            if (parameterMap.containsKey(IGNORE)){
                return;
            }
        }
 
        if (!needEscape(boundSql.getSql())) {
            return;
        }
        escapeSql(boundSql);
    }
 
    @Override
    public void beforeUpdate(Executor executor, MappedStatement ms, Object parameter) throws SQLException {
        if (parameter instanceof Map) {
            Map<?, ?> parameterMap = (Map<?, ?>) parameter;
            if (parameterMap.containsKey(IGNORE)){
                return;
            }
        }
 
        BoundSql boundSql = ms.getBoundSql(parameter);
        if (!needEscape(boundSql.getSql())) {
            return;
        }
        escapeSql(boundSql);
    }
 
    /**
     * sql是否需要转义
     *
     * @param sql
     * @return
     */
    private boolean needEscape(String sql) {
        return containLike(sql) && containPlaceholder(sql);
    }
 
    /**
     * sql是否包含like语句
     *
     * @param sql
     * @return
     */
    private boolean containLike(String sql) {
        return StrUtil.containsIgnoreCase(sql, LIKE_SQL);
    }
 
    /**
     * sql是否包含占位符
     *
     * @param sql
     * @return
     */
    private boolean containPlaceholder(String sql) {
        return StrUtil.contains(sql, PLACEHOLDER);
    }
 
    /**
     * 参数名是否是条件构造器生成
     *
     * @param property
     * @return
     */
    private boolean containWrapper(String property) {
        return StrUtil.contains(property, WRAPPER_PARAMETER_PROPERTY);
    }
 
    /**
     * 参数名是否是对象的嵌套表达式
     *
     * @param property
     * @return
     */
    private boolean cascadeParameter(String property) {
        return StrUtil.contains(property, DOT);
    }
 
    /**
     * 转义sql语句中的特殊字符
     *
     * @param boundSql
     */
    @SuppressWarnings("unchecked")
    private void escapeSql(BoundSql boundSql) {
        String[] split = boundSql.getSql().split(PLACEHOLDER_REGEX);
        Object parameter = boundSql.getParameterObject();
        Set<String> processedProperty = new HashSet<>();
        for (int i = 0; i < split.length; i++) {
            // like 通常在末尾
            if (StrUtil.lastIndexOfIgnoreCase(split[i], LIKE_SQL) > -1) {
                if (parameter instanceof Map) {
                    // 拿到此位置的"?"对应的参数名
                    String property = boundSql.getParameterMappings().get(i).getProperty();
                    // 防止重复转义
                    if (processedProperty.contains(property)){
                        continue;
                    }
                    Map<Object, Object> parameterMap = (Map<Object, Object>) parameter;
                    if (containWrapper(property)) {
                        // 条件构造器构造sql方式
                        handlerWrapperEscape(property, parameterMap);
                    } else {
                        // 自主写sql方式
                        handlerOriginalSqlEscape(property, parameterMap);
                    }
                    processedProperty.add(property);
                } else if (parameter instanceof String) {
                    // 单条件&&不通过条件构造器&&直接写sql&&mapper不写@Param注解,会导致parameter直接为参数值而不是map
//                    BeanUtil.setFieldValue(boundSql, "parameterObject", SqlUtil.addSalashes((String) parameter));
                    // 强行反射设置属性,暂不清楚为什么更改parameterObject无效
                    BeanUtil.setFieldValue(boundSql.getParameterObject(), "value", SqlUtil.addSalashes(((String) parameter)).toCharArray());
                }
            }
        }
    }
 
    /**
     * 处理通过条件构造器构造sql的转义
     *
     * @param property        参数名
     * @param parameterObject 此条sql的参数map
     */
    private void handlerWrapperEscape(String property, Map<?, ?> parameterObject) {
        String[] keys = property.split(DOT_REGEX);
        Object ew = parameterObject.get(keys[0]);
        if (ew instanceof AbstractWrapper) {
            Map<String, Object> paramNameValuePairs = ((AbstractWrapper<?, ?, ?>) ew).getParamNameValuePairs();
            // 拿到参数值
            Object paramValue = paramNameValuePairs.get(keys[2]);
            if (paramValue instanceof String) {
                // 去除首尾%并转义后再拼上%
                paramNameValuePairs.put(keys[2], String.format("%%%s%%", SqlUtil.addSalashes((String) paramValue, LIKE_WILDCARD_CHARACTER)));
            }
        }
    }
 
    /**
     * 处理自己写sql的转义
     *
     * @param property        参数名
     * @param parameterObject 此条sql的参数map
     */
    private void handlerOriginalSqlEscape(String property, Map<Object, Object> parameterObject) {
        if (cascadeParameter(property)) {
            // 级联形式的参数,比如参数是对象中的某个字段的值:filter.name
            String[] keys = property.split(DOT_REGEX, 2);
            Object parameterBean = parameterObject.get(keys[0]);
            Object parameterValue = BeanUtil.getProperty(parameterBean, keys[1]);
            if (parameterValue instanceof String) {
                BeanUtil.setProperty(parameterBean, keys[1], SqlUtil.addSalashes((CharSequence) parameterValue));
            }
        } else {
            // 普通参数名
            parameterObject.computeIfPresent(property, (key, value) -> {
                if (value instanceof String) {
                    return SqlUtil.addSalashes((CharSequence) value);
                }
                return value;
            });
        }
    }
}
野生绿箭侠
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis转义反斜杠_MyBatis Plus之like模糊查询包含有特殊字符(_、\、%)
weixin_39634898的博客
12-22 2193
解决思路:自定义一个拦截器,当有模糊查询时,模糊查询的关键字包含有上述特殊字符时,在该特殊字符前添加\进行转义处理。一、问题提出使用MyBatis模糊查询时,当查询关键字包括有_、\、%时,查询关键字失效。二、问题分析1、当like包含_时,查询仍为全部,即 like '%_%'查询出来的结果与like '%%'一致,并不能查询出实际字段包含有_特殊字符的结果条目2、like包括%时...
mybatis/mybatis-plus模糊查询语句特殊字符转义拦截器的实现
a1472750149的博客
11-09 2510
在开发,我们通常会遇到这样的情况。用户在录入信息是录入了‘%’,而在查询时无法精确匹配‘%’。究其原因,‘%’是MySQL的关键字,如果我们想要精确匹配‘%’,那么需要对其进行转义,本文就详细的介绍一下 目录 1.使用mybatis提供的拦截器拦截所有的查询请求。 2.定义SQL语句转义模板,分别对Map和Object对象进行处理 mybatis/mybatis-plus模糊查询语句特殊字符转义拦截器 在开发,我们通常会遇到这样的情况。用户在录入信息是录入了‘%',而在查询时无法精确匹配‘%'。
Mybatis自定义拦截器,对模糊查询传值的特殊字符(\,_,%)统一进行转义处理的代码
07-27
代码包含: EscapeUtil.java:特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%*%)和半角模糊查询(%*或*%)
Mybatis自定义拦截器,对模糊查询传值的特殊字符统一进行转义处理的代码
08-18
特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%*%)和半角模糊查询(%*或*%)
springboot通过mybatis拦截器给sql增加额外条件
最新发布
k_x_sh的博客
06-05 113
2.mybatis-config.xml关键如下(完整的参考ruoyi-vue)1.导入jar包(如果用的若依框架则不用,本身就存在该包)2.我这是在ruoyi-vue上修改的。4.mapper接口如下。
mybatis-plus转义
zylfsklysdq的博客
05-26 2228
mybatis/mybatis-plus模糊查询语句特殊字符转义拦截器
u010044936的博客
07-03 7552
在开发,我们通常会遇到这样的情况。用户在录入信息是录入了‘%’,而在查询时无法精确匹配‘%’。究其原因,‘%’是MySQL的关键字,如果我们想要精确匹配‘%’,那么需要对其进行转义。 1.使用mybatis提供的拦截器拦截所有的查询请求。 具体实现在代码均有注释 import lombok.extern.slf4j.Slf4j; import org.apache.commons.lang3.StringUtils; import org.apache.ibatis.executor.Executor;
Mybatis解决模糊查询有通配符的情况(用Escape关键字)
努力努力再努力
02-22 1641
Mybatis解决模糊查询有通配符的情况(用Escape关键字)
自定义插件解决MyBatis-Plus like查询遇_ % \等字符需转译问题(含分页查询)
qq_37857119的博客
02-17 5645
实现MyBatis-Plus自定义插件,解决like预处理参数_ & \通配符转译问题
mybatis(mybatis-plus)映射文件(XML文件)特殊字符转义
热门推荐
吴名氏的博客
09-01 7万+
mybatis(mybatis-plus)映射文件(XML文件)特殊字符转义
mybatis-plus自定义插件解决模糊查询特殊字符转义问题
yiqiu1959的博客
11-24 2888
背景:MySQL模糊查询时,如果前端传了特殊字符而后端没有对特殊字符转义的话,特殊字符就会被识别为SQL特殊字符,发挥其特殊字符的含义,如占位符’_‘、’%‘等,如需MySQL将这些字符识别为普通字符,则需要在其前面加上转义符,默认是反斜杠,即变为’_‘、’%'即可。但是每个查询的地方都加转义,又麻烦又容易遗漏,所以借鉴类似AOP的思想,加一层拦截来解决,如果你的orm框架使用的mybatis-plus,则可以通过实现一个自定义插件解决,mybatis也有类似插件规范。直接无脑上代码 复制粘贴就行。
SQL注入
weixin_44558065的博客
08-01 5328
SQL注入 概述:SQL注入是指攻击者通过把恶意SQL命令插入到web表单的输入域或页面请求的查询字符串,并且插入的恶意SQL命令会导致原有SQL语句作用发生改变,从而欺骗服务器执行恶意的SQL命令的一种攻击方式(多年蝉联OWASP高危漏洞前三名!!!) 原理 ...
MyBatis-plus 模糊查询的使用
09-07
MyBatis-plus模糊查询主要通过`QueryWrapper`类来实现。`QueryWrapper`是一个条件构造器,可以方便地构建复杂的查询条件。以下是如何使用`QueryWrapper`进行模糊查询的步骤: 1. 首先,你需要创建一个`Query...
MyBatis-Plus入门+MyBatis-Plus文档手册 文pdf高清版.rar
11-09
支持lambda 形势调用、支持多种数据库,支持主键自动生成、支持ActiveRecord模式,支持自定义全局通用操作、支持关键词自动转义,内置代码生成器、内置分页插件、内置性能分析插件,内置全局拦截插件、内置sql注入...
MyBatis-Plus 分页查询以及自定义sql分页的实现
09-07
MyBatis-Plus 提供了两种主要的分页查询方法,它们都接受 `IPage` 对象和 `Wrapper` 包装器作为参数: 1. **`selectPage`**:此方法返回一个实体类型的 `IPage` 对象,用于存储分页结果,包括当前页数据和分页信息...
mybatis-plus 拦截器解决模糊查询特殊字符转义问题
weixin_45636743的博客
07-20 618
处理mybatis-plus 模糊查询特殊字符转义问题,使用mybatis-plus 3.4.2版本,实现 InnerInterceptor。遗留Bug,不支持foreach方式,打印的仍然没有替换!问题sql控制台打印。
MybatisLIKE特殊字符处理的解决方案
Blog_ShaoHuaiLin的博客
11-01 1389
方案一和方案二都解决了like特殊字符的处理,各有利弊吧,得结合实际情况来决定。
MyBatis-Plus模糊查询特殊字符转义
heng991108的博客
12-18 1264
MyBatis-Plus会直接将用户的输入拼接到查询语句,例如%_%,但我们实际需要的是%\_%,例如需要查询出名称带下划线的用户,点击查询后却查出了全部用户。为了解决这个问题可以使用一个MyBatis-Plus的全局拦截器特殊字符进行转义
mybatis-plus拦截器
07-28
Mybatis-Plus拦截器用于在执行SQL语句前后进行一些额外的操作,比如分页、加密等。在Mybatis-Plus,可以通过MybatisPlusInterceptor来管理和配置拦截器链。通过addInnerInterceptor方法,可以向MybatisPlusInterceptor添加自定义拦截器。\[1\]\[2\]\[3\]这些拦截器可以在配置文件进行添加,并且可以按照添加的顺序执行。在配置文件,可以使用@Configuration注解来标识配置类,使用@Bean注解来创建MybatisPlusInterceptor实例,并通过addInnerInterceptor方法添加自定义拦截器。同时,可以使用MybatisPlusInterceptor的addInnerInterceptor方法添加内置的拦截器,比如分页拦截器。\[2\]\[3\]这样,就可以实现对Mybatis-Plus拦截器进行配置和使用。 #### 引用[.reference_title] - *1* [关于MyBatisPlus分页查询为什么要使用拦截器的解释](https://blog.csdn.net/m0_73700925/article/details/131022879)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [MyBatis-plus拦截器](https://blog.csdn.net/winerpro/article/details/126053599)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Mybatis Plus拦截器](https://blog.csdn.net/weixin_42502300/article/details/125607529)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值