一、注解的名称
@Documented
@Constraint(validatedBy = AnnotationValidator.class)
@Target({ElementType.FIELD, ElementType.PARAMETER})
@Retention(RetentionPolicy.RUNTIME)
public @interface InjectionAnnotation {
String message() default "约束违反异常";
Class<?>[] groups() default {};
Class<? extends Payload>[] payload() default {};
}
@Documented
:表示这个注解会被包含在JavaDoc文档中。@Constraint(validatedBy = AnnotationValidator.class)
:指定了这个注解的验证器类,即AnnotationValidator
,它负责实现具体的验证逻辑。@Target({ElementType.FIELD, ElementType.PARAMETER})
:表示这个注解可以应用于字段(Field)和参数(Parameter)。@Retention(RetentionPolicy.RUNTIME)
:表示这个注解在运行时仍然有效,可以通过反射机制读取和使用。
二、注解的验证器类
@Component
public class AnnotationValidator implements ConstraintValidator<InjectionAnnotation, String> {
@Override
public void initialize(InjectionAnnotation constraintAnnotation) {
ConstraintValidator.super.initialize(constraintAnnotation);
}
//传入一个字符串,其中不应该包含以下字符
@Override
public boolean isValid(String value, ConstraintValidatorContext context) {
if (StringUtils.hasText(value)){
Pattern pattern = Pattern.compile(
"\\b(and|exec|insert|select|drop|grant|alter|delete|update|count|chr|mid|master|truncate|char|declare|or)\\b|(\\*|;|\\+|'|%|&)");
Matcher matcher = pattern.matcher(value);
return !matcher.find();
}
return true;
}
}
三、使用注解
public String regUser(@RequestParam("phone") @InjectionAnnotation(message = "存在SQL注入风险") String phone) {
}
注:使用注解时,Controller上还要添加 @Validated 注解
使用时,可能还会抛出 ConstraintViolationException 参数异常,需要自行处理一下。