JavaWeb分页条件查询参数特殊字符处理

问题背景

在项目开发过程中，基本都会有列表条件查询，例如用户管理会有通过用户姓名模糊查询用户，课程管理会有课程名称模糊查询课程等等。

而查询过程中如果用户在界面上输入一些特殊字符，例如：%_等等，这时可以发现最终生成的SQL大致如下：

select * from t_user where name like '%%%'
select * from t_user where name like '%_%'

这样就会导致将用户表的所有数据都查询出来，这显然不是用户想看到的结果，用户的本意只是想找名字叫%的人，而由于这些字符因为在数据库（Mysql等）中有着特殊含义，

%表示任意字符，_表示任意一个字符，所有导致了这样的结果。

如何解决

很容易想到的解决方案就是在生成SQL的时候对这些个字符进行转义，让数据库将这些字符当作普通的字符串来处理，而不是字符通配符。

例如如果是使用mybatisplus可以这样写：

LambdaQueryWrapper<User> queryWrapper = Wrappers.lambdaQuery(User.class)
				//使用对用户姓名里面的%_\进行替换
                .like(StringUtils.isNotBlank(qo.getName()), User::getName, replaceStr(qo.getName()));

  private String replaceStr(String str) {
        if (str != null && !"".equals(str)) {
            str = str.replaceAll("\\\\", "\\\\\\\\")
                    .replace("_", "\\_").replace("\'", "\\'")
                    .replace("%", "\\%").replace("*", "\\*");

        }
        return str;
    }

 

这样如果输入的name=%，最终生成的SQL如下：

select * from t_user where name like '%\%%'

这里的\%就会当作普通的字符串进行条件匹配，如果有name里面含有%就会被查询出来，满足了用户的期望。

但是，一个系统中这样的条件查询肯定不止一个，会有几十、几百个，每一个都这样处理会显得很麻烦，那有什么办法可以统一处理吗？

当然是有的，咱们不是有AOP嘛，对所有分页查询的入参做个拦截，对这些个特殊字符进行处理，然后再去调用接口就可以了，可以这样处理：

/**
 * 统一处理列表分页条件查询的入参的特殊字符
 * 再Mysql查询中有%_\三个特殊字符
 * %：代表通配符任意字符
 * _: 代表任意一个字符
 * \: 在Java代码中需要四个\\\\才能查出数据库中一个\
 *
 **/
@Component
@Aspect
public class QueryRequestAspect {
    
    /**
     * 定义切面，根据自己的情况定义
     * 所有controller下面所有page开头的接口
     */
    @Pointcut(value = "execution(* com.xxx.xxx.controller..*.page*(..))")
    private void queryPointCut() {
    }
	//可以使用Before类型的通知、也可以使用Around类型通知
    @SneakyThrows
    @Before(value = "queryPointCut()")
    public void process(JoinPoint joinPoint) {
        Object[] args = joinPoint.getArgs();
        if (args != null && args.length != 0) {
            //对入参进行处理
            for (int i = 0; i < args.length; i++) {
                Field[] declaredFields = args[i].getClass().getDeclaredFields();
                for (Field declaredField : declaredFields) {
                    declaredField.setAccessible(true);
                    Object o = declaredField.get(args[i]);
                    if (o instanceof String) {
                        declaredField.set(args[i], replaceStr((String) o));
                    }
                }
            }
        }
    }

    private String replaceStr(String str) {
        if (str != null && !"".equals(str)) {
            str = str.replaceAll("\\\\", "\\\\\\\\")
                    .replace("_", "\\_").replace("\'", "\\'")
                    .replace("%", "\\%").replace("*", "\\*");

        }
        return str;
    }

}

这样通过这个QueryRequestAspect 切面就可以统一处理分页查询的条件入参了。

参考资料：

Java查询Mysql数据库时，查询条件带特殊字符（\ % ‘ * _）的处理方式_查询数据库字段包含某特殊字符_weixin_43828846的博客-CSDN博客

SpringBoot AOP拦截、修改请求参数_aop 修改参数值_HouXinLin_CSDN的博客-CSDN博客