MyBatis-Plus 学习笔记-数据安全保护

已于 2024-11-27 15:01:56 修改
阅读量1k 收藏 7
点赞数 23
分类专栏: Mybatis-plus学习 文章标签: 学习 笔记
于 2024-11-27 15:01:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cauyaycau/article/details/143933299
版权

        MyBatis-Plus 提供了数据安全保护功能,旨在防止因开发人员流动而导致的敏感信息泄露。从3.3.2版本开始,MyBatis-Plus 支持通过加密配置和数据安全措施来增强数据库的安全性。

当然也可以使用Nacos,Apollo这种配置中心来管理

配置加密

YML 配置加密

       MyBatis-Plus 允许你使用加密后的字符串来配置数据库连接信息。在 YML 配置文件中,以 mpw: 开头的配置项将被视为加密内容。

spring:
  datasource:
    url: mpw:qRhvCwF4GOqjessEB3G+a5okP+uXXr96wcucn2Pev6Bf1oEMZ1gVpPPhdDmjQqoM
    password: mpw:Hzy5iliJbwDHhjLs1L0j6w==
    username: mpw:Xb+EgsyuYRXw7U7sBJjBpA==

使用 AES 算法生成随机密钥,并对敏感数据进行加密。

// 生成16位随机AES密钥
String randomKey = AES.generateRandomKey();

// 使用随机密钥加密数据
String encryptedData = AES.encrypt(data, randomKey);
package com.example.demo.utils;

import com.baomidou.mybatisplus.core.toolkit.AES;

public class AesUtils {
    public static void main(String[] args) {
        // 生成16位随机AES密钥
//        String randomKey = AES.generateRandomKey();
        String randomKey = "IumOgNjljMjgAPRU";
        System.out.println(randomKey);
        // 使用随机密钥加密数据
        String encryptedData = AES.encrypt("jdbc:mysql://localhost:3306/test?useSSL=false&useUnicode=true&characterEncoding=utf8&serverTimezone=Asia/Shanghai&tinyInt1isBit=false&nullCatalogMeansCurrent=true&allowMultiQueries=true&allowPublicKeyRetrieval=true", randomKey);
        String root = AES.encrypt("root", randomKey);
        String pw = AES.encrypt("123456", randomKey);
        System.out.println(encryptedData);
        System.out.println(root);
        System.out.println(pw);
    }
}

生成加密数据 

密钥:IumOgNjljMjgAPRU
地址:XmLADrrUhBmMZdAt+ojd5yJ9vNRDu1/kgRO0qHmXmvHOrmL+qz55GVEQARIHW1aJLKt+d0iwE+3wpwPaB+Ha0/3fMbrk8g0RIHb7FTp09xLs4iVXmg1nlc5m+rkLkDmZL4u+nNTsfNuDkYEM05bLVTUkpYIDuQNvVAXAlK2f+/h0F0SIqbasija42+zq+odGJaTmea4iuI9d97kalFkKjHyiBL3cqCRZJIkXQctnqjKKp5CKjnzyMQXyrK2TOSd9jtbqxRx0uSSvlrYSR0wgNAmVvINJk53Z8sh3tZPtJb0=
用户:CFeI7CB8lrga3NXlsefIpQ==
密码:tQ4Azxb1HPk6M0C6gkPOIA==
 

 使用

  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: mpw:XmLADrrUhBmMZdAt+ojd5yJ9vNRDu1/kgRO0qHmXmvHOrmL+qz55GVEQARIHW1aJLKt+d0iwE+3wpwPaB+Ha0/3fMbrk8g0RIHb7FTp09xLs4iVXmg1nlc5m+rkLkDmZL4u+nNTsfNuDkYEM05bLVTUkpYIDuQNvVAXAlK2f+/h0F0SIqbasija42+zq+odGJaTmea4iuI9d97kalFkKjHyiBL3cqCRZJIkXQctnqjKKp5CKjnzyMQXyrK2TOSd9jtbqxRx0uSSvlrYSR0wgNAmVvINJk53Z8sh3tZPtJb0=
    username: mpw:CFeI7CB8lrga3NXlsefIpQ==
    password: mpw:tQ4Azxb1HPk6M0C6gkPOIA==

spring boot 启动需要在启动指令加上--mpw.key=IumOgNjljMjgAPRU 指令启动。

idea直接启动在Program arguments中配置。

jar包启动是在 nohup java --mpw.key=IumOgNjljMjgAPRU -jar 加入。

有的idea版本可能没有Program arguments 

但是 还是建议使用配置中心进行维护配置文件。

数据安全

MyBatis-Plus 关于数据加密和数据脱敏在社区版是没有的,需要购买企业版才有。我们可以使用mybatis拦截器方式做数据库字段加密,脱敏处理。

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 加密字段注解
 * 用于标记需要加密的字段
 */
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.FIELD)
public @interface EncryptedField {
}

/**
 * 数据加密拦截器
 * 该拦截器用于拦截MyBatis的执行器(Executor)的update和query方法,以实现数据加密和解密
 * 主要功能包括:
 * 1. 在执行插入或更新操作前,对带有 @EncryptedField 注解的字段进行加密
 * 2. 在执行查询操作后,对查询结果中带有 @EncryptedField 注解的字段进行解密
 */
@Intercepts({
        @Signature(type = Executor.class, method = "update", args = {MappedStatement.class, Object.class}),
        @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class})
})
public class DataEncryptionInterceptor implements Interceptor {

    /**
     * 拦截方法的执行
     * 在执行插入或更新操作时,对带有 @EncryptedField 注解的字段进行加密
     * 在执行查询操作时,对查询结果中带有 @EncryptedField 注解的字段进行解密
     *
     * @param invocation 调用信息,包含方法、参数等信息
     * @return 加密或解密后的结果
     * @throws Throwable 如果执行过程中出现异常
     */
    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        Object[] args = invocation.getArgs();
        MappedStatement ms = (MappedStatement) args[0];
        Object parameter = args[1];

        // 处理插入或更新操作
        if ("update".equals(invocation.getMethod().getName())) {
            encryptFields(parameter);
        }

        // 处理查询操作
        if ("query".equals(invocation.getMethod().getName())) {
            Object result = invocation.proceed();
            if (result instanceof List) {
                decryptFields((List<?>) result);
            }
            return result;
        }

        return invocation.proceed();
    }

    /**
     * 对带有 @EncryptedField 注解的字段进行加密
     *
     * @param object 需要加密的对象
     */
    private void encryptFields(Object object) {
        MetaObject metaObject = SystemMetaObject.forObject(object);
        for (String fieldName : metaObject.getGetterNames()) {
            if (metaObject.hasGetter(fieldName) && metaObject.getSetter(fieldName, String.class) != null) {
                try {
                    Field field = object.getClass().getDeclaredField(fieldName);
                    if (field.isAnnotationPresent(EncryptedField.class)) {
                        String value = metaObject.getValue(fieldName).toString();
                        String encryptedValue = EncryptionUtil.encrypt(value);
                        metaObject.setValue(fieldName, encryptedValue);
                    }
                } catch (NoSuchFieldException e) {
                    // 忽略不存在的字段
                }
            }
        }
    }

    /**
     * 对查询结果中带有 @EncryptedField 注解的字段进行解密
     *
     * @param resultList 查询结果列表
     */
    private void decryptFields(List<?> resultList) {
        for (Object item : resultList) {
            MetaObject metaObject = SystemMetaObject.forObject(item);
            for (String fieldName : metaObject.getGetterNames()) {
                if (metaObject.hasGetter(fieldName) && metaObject.getSetter(fieldName, String.class) != null) {
                    try {
                        Field field = item.getClass().getDeclaredField(fieldName);
                        if (field.isAnnotationPresent(EncryptedField.class)) {
                            String value = metaObject.getValue(fieldName).toString();
                            String decryptedValue = EncryptionUtil.decrypt(value);
                            metaObject.setValue(fieldName, decryptedValue);
                        }
                    } catch (NoSuchFieldException e) {
                        // 忽略不存在的字段
                    }
                }
            }
        }
    }

    /**
     * 生成拦截器的代理对象
     *
     * @param target 目标对象
     * @return 代理对象
     */
    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    /**
     * 设置属性
     * 可以在这里设置一些配置项
     *
     * @param properties 属性配置
     */
    @Override
    public void setProperties(Properties properties) {
        // 可以在这里设置一些配置项
    }
}

SQL 注入安全保护

MyBatis-Plus 提供了自动和手动两种方式来检查 SQL 注入风险。

自动检查

使用 Wrappers.query() 方法时,可以通过 .checkSqlInjection() 开启自动检查。

Wrappers.query()
// 开启自动检查 SQL 注入
.checkSqlInjection().orderByDesc("任意前端传入字段,我们推荐最好是白名单处理,因为可能存在检查覆盖不全情况")

手动校验

使用 SqlInjectionUtils.check() 方法进行手动校验。

// 手动校验前端传入的字段是否存在 SQL 注入风险
SqlInjectionUtils.check("任意前端传入字段,我们推荐最好是白名单处理,因为可能存在检查覆盖不全情况") 
/**
 * SQL 注入验证工具类
 *
 * 提供SQL注入检查和处理相关的方法,以帮助提高应用程序的安全性
 */
public class SqlInjectionUtils {
    /**
     * SQL语法检查正则:符合两个关键字(有先后顺序)才算匹配
     */
    private static final Pattern SQL_SYNTAX_PATTERN = Pattern.compile("(insert|delete|update|select|create|drop|truncate|grant|alter|deny|revoke|call|execute|exec|declare|show|rename|set)" +
            "\\s+.*(into|from|set|where|table|database|view|index|on|cursor|procedure|trigger|for|password|union|and|or)|(select\\s*\\*\\s*from\\s+)" +
            "|if\\s*\\(.*\\)|select\\s*\\(.*\\)|substr\\s*\\(.*\\)|substring\\s*\\(.*\\)|char\\s*\\(.*\\)|concat\\s*\\(.*\\)|benchmark\\s*\\(.*\\)|sleep\\s*\\(.*\\)|(and|or)\\s+.*", Pattern.CASE_INSENSITIVE);
    /**
     * 使用'、;或注释截断SQL检查正则
     */
    private static final Pattern SQL_COMMENT_PATTERN = Pattern.compile("'.*(or|union|--|#|/\\*|;)", Pattern.CASE_INSENSITIVE);

    /**
     * 检查参数是否存在 SQL 注入
     *
     * @param value 检查参数
     * @return true 非法 false 合法
     */
    public static boolean check(String value) {
        Objects.requireNonNull(value);
        // 处理是否包含SQL注释字符 || 检查是否包含SQL注入敏感字符
        return SQL_COMMENT_PATTERN.matcher(value).find() || SQL_SYNTAX_PATTERN.matcher(value).find();
    }

    /**
     * 刪除字段转义符单引号双引号
     *
     * @param text 待处理字段
     */
    public static String removeEscapeCharacter(String text) {
        Objects.nonNull(text);
        return text.replaceAll("\"", "").replaceAll("'", "");
    }
}

最好的预防方式仍旧是不允许任何SQL片段由前端传到后台,我们强烈建议不要开放给前端太多的动态 SQL,这样最安全。

MyBatisMybatis-plus学习总结 及 两者的区别 我的学习笔记
qq_60972641的博客
10-31 1079
什么是MyBatis?持久层框架MyBatis免除了几乎所有的JDBC代码以及设置参数和获取结果集的工作 Mybatis将JDBC的硬编=>配置文件 繁琐的操作=>自动完成 来看之前的JDBC编码 使用Mybatis之后 注册驱动获取链接 sql语句 手动封装结果集=>自动完成 2.MybatisX插件 安装 搜索插件 效果 Mapper接口与xml自动跳转功能 目的: 解决原生方式中的硬编码简化后期执行SQL使用Mapper代理方式 编码,通过 SqlSession 的 getMapper方法获
MyBatis-Plus3.5.2 学习指南
nangon1234的博客
12-03 947
是的,如果没有锁,小李的操作就完全被小王的覆盖了。小李正在玩游戏,耽搁了一个小时。① 同样以用户 ID 为例,假如我们一开始就规划了 10 个数据库表,可以简单地用 user_id % 10 的值来表示数据所属的数据库表编号,ID 为 985 的用户放到编号为 5 的子表中,ID 为 10086 的用户放到编号为 6 的子表中。​ 首先是一个符号位,1 bit 标识,由于 long 基本类型在 Java 中是带符号的,最高位是符号位,正数是 0,负数是 1,所以 id 一般是正数,最高位是 0。
使用mybatis-plus对配置文件加密
Yang_RR的博客
05-29 756
MyBatis-Plus 提供了数据安全保护功能,旨在防止因开发人员流动而导致的敏感信息泄露。从3.3.2版本开始,MyBatis-Plus 支持通过加密配置和数据安全措施来增强数据库的安全性。
Mybatis Plus数据安全保护、批量操作
深圳市多克创新科技有限公司
11-22 567
Mybatis Plus数据安全保护、批量操作
mybatis-plus apply 防SQL注入,从零基础到精通,收藏这篇就够了!
最新发布
韩束一叶子
03-21 1191
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。网络安全产业就像一个江湖,各色人等聚集。
Mybatis-plus 数据安全保护
weixin_45678151的博客
03-29 78
/7a10eda6bd25ae0c// 随机密钥加密。5、本地指定dev运行 application.yml(忽略)3、秘钥替换 application-pro.yml。1、加密前 application-dev.yml。2、生成秘钥 RandomKeyTest.java。//将项目打成jar包,使用pro.xml执行。Mybatis-plus 数据安全保护。// 生成 16 位随机 AES 密钥。
Mybatis-Plus数据安全保护-及其使用方法
醉瑾_的博客
12-19 5210
Myatis-Plus下实现数据库安全保护
MyBatis-Plus 优雅实现数据加密存储
一碗清深的博客
02-22 5867
本文将基于Mybatis-Plus讲述如何在数据的源头存储层保障其安全。我们都知道一些核心私密字段,比如说密码,手机号等在数据库层存储就不能明文存储,必须加密存储保证即使数据库泄露了也不会轻易曝光数据。
mybatis-plus之配置安全
zk_tww的博客
07-31 354
MyBatis-Plus 从3.3.2版本开始提供了数据安全保护功能,MyBatis-Plus 支持通过加密配置来增强数据库的安全性。
Mybatis-Plus学习总结(超详细整理),多线程高并发
m0_64867047的博客
12-13 4352
插入操作: 插入一条记录: int insert(T entity); 插入类型T:实体对象 举例测试: @Test public void testInsert() { User user = new User(); user.setName(“LY”); user.setAge(100); user.setEmail(“123@qq.com”); int result = userMapper.insert(user); //帮我们生成id System.out.println(result.
Mybatis-Plus 学习笔记】1、MP 简介及入门实例,SpringBoot集成Redis集群
2301_77033340的博客
04-04 774
学习技术一定要制定一个明确的学习路线,这样才能高效的学习,不必要做无效功,既浪费时间又得不到什么效率,大家不妨按照我这份路线来学习。大家不妨直接在牛客和力扣上多刷题,同时,我也拿了一些面试题跟大家分享,也是从一些大佬那里获得的,大家不妨多刷刷题,为金九银十冲一波!一个人可以走的很快,但一群人才能走的更远。如果你从事以下工作或对以下感兴趣,欢迎戳这里加入程序员的圈子,让我们一起学习成长!
MyBatis-Plus学习笔记
m0_55441458的博客
02-05 573
MyBatis-Plus 官网学习笔记
基于Mybatis-Plus拦截器实现MySQL数据加解密
tianmaxingkonger的专栏
06-01 1万+
本文基于SpringBoot+MybatisPlus(3.5.X)+MySQL8架构,Dao层与DB中间使用MP的拦截器机制,对数据存取过程进行拦截,实现数据的加解密操作。实体类上使用自定义注解,来标记需要进行加解密// 必须使用@EncryptedTable注解// 使用@EncryptedColumn注解// 使用@EncryptedColumn注解通过MP自带API、Lambda、自定义mapper接口三种方式进行测试。
mybatis-plus实现数据字段加解密
alan3258的专栏
04-13 3432
在需要加解密的实体类头部添加注解@EncryptedTable,同时在需要加解密的字段上添加@EncryptedField注解即可。
mybatis-plus 分页
lizsy的博客
05-11 1025
如果返回类型是Page则入参的Page不能为null,因为返回的Page==入参的Page;Page对象是IPage的实现类,是mybatis-plus提供的一个分页对象,如果有个性化需求,可自定义实现了IPage接口的分页对象。mybatis-plus要实现分页查询,得先向mybatis-plus的插件集合中添加分页插件,mybatis-plus已经提供了成熟的分页插件,我们简单配置下就行,以springboot为例,代码如下。dbType:数据库类型(根据类型获取应使用的分页方言),
SpringBoot环境后置处理器EnvironmentPostProcessor(实现配置文件敏感信息加密)
kimi
11-24 2059
SpringBoot环境后置处理器EnvironmentPostProcessor(实现配置文件敏感信息加密)
DVWA通过攻略之SQL注入
热门推荐
勿山几已
05-24 1万+
简单介绍SQL注入,演示手工进行SQL注入及利用sqlmap进行自动化SQL注入
自己记不住的
一条快死的鱼
06-11 638
1、mybatisplus
MyBatis-Plus数据安全保护
kimi
07-19 1370
MyBatis-Plus数据安全保护
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

咕德猫宁丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值