自定义注解实现

一、注解的名称

@Documented
@Constraint(validatedBy = AnnotationValidator.class)
@Target({ElementType.FIELD, ElementType.PARAMETER})
@Retention(RetentionPolicy.RUNTIME)

public @interface InjectionAnnotation {

    String message() default "约束违反异常";

    Class<?>[] groups() default {};

    Class<? extends Payload>[] payload() default {};
}

1. @Documented：表示这个注解会被包含在JavaDoc文档中。
2. @Constraint(validatedBy = AnnotationValidator.class)：指定了这个注解的验证器类，即AnnotationValidator，它负责实现具体的验证逻辑。
3. @Target({ElementType.FIELD, ElementType.PARAMETER})：表示这个注解可以应用于字段（Field）和参数（Parameter）。
4. @Retention(RetentionPolicy.RUNTIME)：表示这个注解在运行时仍然有效，可以通过反射机制读取和使用。

二、注解的验证器类

@Component
public class AnnotationValidator implements ConstraintValidator<InjectionAnnotation, String> {

    @Override
    public void initialize(InjectionAnnotation constraintAnnotation) {
        ConstraintValidator.super.initialize(constraintAnnotation);
    }

    //传入一个字符串，其中不应该包含以下字符
    @Override
    public boolean isValid(String value, ConstraintValidatorContext context) {
        if (StringUtils.hasText(value)){
            Pattern pattern = Pattern.compile(
                    "\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%|&)");
            Matcher matcher = pattern.matcher(value);
            return !matcher.find();
        }
        return true;
    }
}

三、使用注解

public String regUser(@RequestParam("phone") @InjectionAnnotation(message = "存在SQL注入风险") String phone) {

}

注：使用注解时，Controller上还要添加  @Validated 注解

使用时，可能还会抛出 ConstraintViolationException 参数异常，需要自行处理一下。