mybatis注解动态sql注入map和list(防sql注入攻击)

最新推荐文章于 2024-04-27 21:56:16 发布
最新推荐文章于 2024-04-27 21:56:16 发布
阅读量1.4k 收藏 4
点赞数
分类专栏: mybatis java javaweb 文章标签: mybatis sql spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daodfs111/article/details/105630711
版权
java 同时被 3 个专栏收录
40 篇文章 4 订阅
订阅专栏
javaweb
11 篇文章 0 订阅
订阅专栏
mybatis
3 篇文章 1 订阅
订阅专栏

目录

网上的教程

  1. 配置xml
  2. 注解中写xml脚本@Select()
  3. 使用Java类中的Java方法拼写sql语句(不防sql注入攻击的纯字符串拼接)

我的教程(防sql注入攻击)

注入Map

Mapper层代码

@Repository
public interface ManageMapper {
	
	@SelectProvider(type = ManageProvider.class, method = "queryDevices")
	List<Map<String, Object>> queryDevices(@Param("devicetypeno") String devicetypeno, @Param("map") Map<String, Object> map);
}

Service层代码

@Service("manageService")
public class ManageServiceImpl implements ManageService {
	
	@Resource
	private ManageMapper manageMapper;

	@Override
	public List<Map<String, Object>> queryDevices(String devicetypeno) {
		HashMap<String, Object> map = new HashMap<>();
		map.put("1-1", "1800");
		map.put("1-2", "1854");
		return manageMapper.queryDevices(devicetypeno, map);
	}
}

SqlProvider代码

public class ManageProvider {
	
	public String queryDevices() {
		String sql = new SQL()
				.SELECT("TERMINALNUM, ORGCODE, DEVICETYPENO, DEVICENAME")
				.FROM("S_DEVICE_INFO")
				.WHERE("DEVICETYPENO = #{devicetypeno}")
				.WHERE("ORGCODE IN (#{map.1-1}, #{map.1-2})")
				.toString();
		return sql;
	}
}

注入List

Mapper层代码

@Repository
public interface ManageMapper {

	@SelectProvider(type = ManageProvider.class, method = "queryDevices")
	List<Map<String, Object>> queryDevices(@Param("devicetypeno") String devicetypeno, @Param("list") List<Object> list);
}

Service层代码

@Service("manageService")
public class ManageServiceImpl implements ManageService {
	
	@Resource
	private ManageMapper manageMapper;

	@Override
	public List<Map<String, Object>> queryDevices(String devicetypeno) {
		ArrayList<Object> list = new ArrayList<>();
		list.add("1800");
		list.add("1854");
		return manageMapper.queryDevices(devicetypeno, list);
	}
}

SqlProvider代码

public class ManageProvider {

	public String queryDevices(Map<String, Object> params) {
//		String sql = new SQL()
//				.SELECT("TERMINALNUM, ORGCODE, DEVICETYPENO, DEVICENAME")
//				.FROM("S_DEVICE_INFO")
//				.WHERE("DEVICETYPENO = #{devicetypeno}")
//				.WHERE("ORGCODE IN (#{list[0]}, #{list[1]})")
//				.toString();
//		return sql;
	
		@SuppressWarnings("unchecked")
		List<Object> list = (List<Object>) params.get("list");
		StringBuilder inBuilder = new StringBuilder();
		for (int i = 0, size = list.size(); i < size; i++) {
			if (i == 0) {
				inBuilder.append("(").append("#{list[").append(i).append("]}");
			} else if (i == size - 1) {
				inBuilder.append(", ").append("#{list[").append(i).append("]}").append(")");
			} else {
				inBuilder.append(", ").append("#{list[").append(i).append("]}");
			}
		}
		SQL sql = new SQL()
					.SELECT("TERMINALNUM, ORGCODE, DEVICETYPENO, DEVICENAME")
					.FROM("S_DEVICE_INFO")
					.WHERE("DEVICETYPENO = #{devicetypeno}");
		if (inBuilder.length() > 0) {
			sql.WHERE("ORGCODE IN " + inBuilder);
		}
		return sql.toString();
	}
}

封装foreach

像xml foreach标签一样使用foreach方法
请看mybatis注解动态sql中foreach工具方法

daodfs1
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis动态SQL--传入参数为集合,数组类型
weixin_30662109的博客
10-06 562
当接口方法的传入类型为List 或数组Array 时,我们该如何操作 /** * * 1.单个的参数Mybatis不会做特殊处理 * #{这里随便写什么都可以} 它都能把这里面的值取到 * 2.传入对象POJO(普通的java类).. * #{对象的属性名称} * 3.多个参数。Mybatis会做特殊处理。会把...
SQL 注入
洪晓鸿
04-26 2429
SQL 注入是在使用 Spring Boot 开发 Web 应用程序时必须关注的重要安全问题。通过遵循以下四个步骤,我们可以有效地预 SQL使用参数化查询。使用 JPA 或其他 ORM 框架。验证和过滤用户输入。设置最小权限原则。结合这些方法,我们可以确保我们的应用程序在面对 SQL 注入攻击时能够保持数据安全。
黑客常用SQL注入绕过技术总结!(冰河吐血整理,建议收藏)
2401_84264536的博客
04-27 2143
最后的or '1闭合查询语句的最后的单引号,或者:id=1’ union select 1,2,'3使用like 、rlike 、regexp 或者 使用< 或者 >(1)使用注释符绕过常用注释符://,-- , /**/, #, --+, – -, ;,%00,–a用法:U// NION // SE// LECT //user,pwd from user(2)使用大小写绕过id=-1’UnIoN/**/SeLeCT(3)内联注释绕过id=-1’/!UnIoN/ SeLeCT 1,2,concat(/!ta
Mybatis 通过注解的方式实现动态SQL
Wayfreem的博客
09-28 5113
Mybatis 动态SQL 实现方式 第一种方式 在 mapper 的 interface类中使用注解的方式实现: 需要使用 <script></script> 标签包裹 可以正常的使用在 XML 的动态SQL 标签 @Select("<script> SELECT * FROM AREA WHERE 1 = 1 " + "<if...
SQL注入详解(包含SQLMap用法)
Zyu0
12-07 3809
这个系列讲的是整个SQL注入流程,其中包含各种手工注入姿势、SQLmap自动化注入及安全护绕过姿势详解,现在只完成了其中一部分内容,每天都会更新,感兴趣的可以持续关注一下~
mybatis 动态sql和参数
weixin_30462049的博客
02-05 744
mybatis 动态sql 名词解析 OGNL表达式 OGNL,全称为Object-GraphNavigationLanguage,它是一个功能强大的表达式语言,用来获取和设置Java对象的属性,它旨在提供一个更高的更抽象的层次来对Java对象图进行导航。 OGNL表达式的基本单位是"导航链",一般导航链由如下几个部分组成: 属性名称(property) 方法调用(metho...
通过注解实现MyBatissql查询结果的两个字段分别作为map的key,value
lishuzhen5678的博客
11-04 6468
在使用mybatis时,遇到一个这样一个场景:select语句,返回两个字段,这两个字段分别作为key和value返回一个Map,返回一个Map<Stri...
mybatis动态sqlMap参数的讲解
08-26
MyBatis动态SQLMap参数的讲解 MyBatis动态SQL中参数类型可以是Map类型的,在实际开发中,我们经常需要在Mapper...MyBatis动态SQLMap参数的使用可以让我们的SQL语句更加灵活和动态,使得我们的开发更加高效和便捷。
MyBatis 执行动态 SQL语句详解
09-01
MyBatis 中,动态 SQL 是一个强大的特性,允许我们在 XML 映射文件或注解中编写条件语句,根据运行时的参数来决定 SQL 的具体执行内容。下面我们将深入探讨如何在 MyBatis 中执行动态 SQL 语句。 首先,我们要...
mybatis注解映射SQL示例代码
08-29
MyBatis注解映射SQL示例代码 MyBatis是一款流行的持久层框架,它提供了多种方式来映射SQL语句,其中之一便是使用注解的方式。下面我们将通过示例代码来介绍MyBatis注解映射SQL的相关知识点。 结果集分页 在...
mybatis动态sql及参数的传递
09-16
本篇将深入探讨MyBatis中的动态SQL和参数传递机制。 动态SQLMyBatis的一大亮点,它使得SQL语句可以根据条件进行动态构建,极大地提高了代码的可读性和维护性。在MyBatis中,动态SQL主要通过`<if>`, `<choose>`, `...
MyBatis注解配置映射器:动态SQL的实现
08-22
java工程,练习通过MyBatis注解的方式配置SQL映射器,实现动态SQL.
MyBatis动态SQL-资料
03-13
4. 结合MyBatis注解和XML配置,灵活选择动态SQL的实现方式。 总结,MyBatis动态SQL是开发中不可或缺的工具,它使SQL构建更加灵活,同时保持了代码的整洁和安全。通过深入理解和熟练运用这些动态SQL标签,可以显著...
mybatis 字段合并_MyBatis源码解析概览
weixin_39655362的博客
12-14 711
MyBatis解决了什么问题1. DataSource --- 数据库连接池解决问题:1.数据连接频繁开启、关闭,使用连接池解决资源浪费问题2.解耦合,统一从DataSource中获取数据库连接,DataSource的具体实现让用户去定义2. Configuration --- SQL统一存取,加载解决问题:1.SQL统一集中放置到配置文件中(以Key-Value格式存放)2.通过SQL语句的...
Mybatis 参数是List<Map<String, String>>,创建 sql
weixin_33800593的博客
06-09 1647
不好意思,我只是记录一下而已.... Mybatis 参数是List<Map<String, String>>,然后创建 sql 语句。 Mapper List<Vod> getDetailsWithFilter(@Param(value = "list") List<Map<String, String>> filters, @Para...
mysql selectprovider_使用Mybatis的@SelectProvide会不会导致注入攻击
weixin_42300896的博客
01-28 815
各位前辈,最近我在用mybatis注解开发,在使用动态sql的时候,是这样用的:@SelectProvider(type = SqlProvider.class, method = "countByDate")int countVoucherByDate(@Param("pre_date") String pre_date,@Param("post_date") String post_date,...
浅谈SQL注入的四种御方法
热门推荐
NLost
04-10 2万+
1.限制数据类型 2.正则表达式匹配传入参数 3.函数过滤转义 4.预编译语句
MybatisSQL注入
qq_44839209的博客
07-10 222
MybatisSQL注入 MybatisSQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写到xml文件。MybatisSQL语句需要我们自己手动编写或者用generator自动生成。编写xml文件时,MyBatis支持两种参数符号,一种是#,另一种是KaTeX parse error: Expected 'EOF', got '#' at position 84: …EWS WHERE ID = #̲{id} </select> …
Mybatis注解方式完成输入参数为listSQL语句拼接
我滴太阳233的博客
04-24 4121
首先将list集合拼接成一个"1,2,3,4"格式的字符串然后将这个字符串封装到一个类中:TyreInfoIdStr这里的@SelectProvider是调用一个外部的类的方法的返回值作为sql语句。在这个方法中拼接SQL语句与list集合的字符串,我这里是提前拼接过了。...
mybatis实现动态sql
最新发布
06-07
MyBatis是一个流行的Java持久层框架,它允许开发者在运行时构建动态SQL查询,从而提高了代码的灵活性和适应性。MyBatis通过结合XML映射文件和注解,实现了动态SQL的执行。以下是MyBatis动态SQL的主要实现方式: 1. XML映射文件(Mapper XML):在MyBatis中,`<select>`, `<update>`, `<delete>`等标签可以包含参数占位符,如`#{id}`, `#{name}`,这些占位符会在运行时被实际的值替换,形成动态SQL语句。 ```xml <select id="getUser" parameterType="int" resultType="User"> SELECT * FROM users WHERE id = #{id} </select> ``` 2. 参数化查询(Parametrized queries):MyBatis支持使用预编译语句,将参数与SQL语句分离,这样可以SQL注入攻击。 3. 显式对象(Parameter Objects):如果动态SQL非常复杂,可以创建一个Java对象作为参数传递给查询,其中包含了多个属性,MyBatis会自动将对象的属性转换为SQL中的列名。 ```java Map<String, Object> params = new HashMap<>(); params.put("startDate", startDate); params.put("endDate", endDate); List<User> users = sqlSession.selectList("getUsers", params); ``` 4. 动态SQL标签:MyBatis提供了`<if>`, `<choose>`, `<when>`, `<otherwise>`等标签,用于根据条件动态生成SQL,实现基于条件的分支查询。 ```xml <select id="getUser" parameterType="map" resultType="User"> <if test="id != null"> SELECT * FROM users WHERE id = #{id} </if> <if test="name != null"> AND name LIKE '%' + #{name} + '%' </if> </select> ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值