Mybatis动态替换表名-拦截器

最新推荐文章于 2024-05-11 10:24:57 发布
最新推荐文章于 2024-05-11 10:24:57 发布
阅读量2.2k 收藏 14
点赞数 5
文章标签: mybatis java sql 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35019521/article/details/126966549
版权

需求

最近接到一个安全漏洞整改,说是存在Sql注入问题。一看代码,有人写了这样的Sql:

select * from ${tablename} where id=#{id};

老大说要改掉,不然代码检测一直过不去,不能跟其它系统对接。

代码

拦截器

package com.xhfeng.studentmananger.config;

import org.apache.ibatis.binding.MapperMethod;
import org.apache.ibatis.executor.statement.StatementHandler;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.plugin.*;
import org.apache.ibatis.reflection.DefaultReflectorFactory;
import org.apache.ibatis.reflection.MetaObject;
import org.apache.ibatis.reflection.factory.DefaultObjectFactory;
import org.apache.ibatis.reflection.wrapper.DefaultObjectWrapperFactory;
import org.springframework.stereotype.Component;

import java.sql.Connection;
import java.util.Objects;
import java.util.Properties;

/**
 * Mybatis预执行替换表
 * @author jike18
 * @Date 2022-09-19 16:13
 */
@Component
@Intercepts({@Signature(type= StatementHandler.class, method = "prepare", args = {Connection.class, Integer.class})})
public class MyBatisSwapTableInterceptor implements Interceptor {

    private final static String SOURCE_TABLE = "wait_swap_table";

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        StatementHandler statementHandler = (StatementHandler) invocation.getTarget();
        MetaObject metaObject = MetaObject.forObject(statementHandler, new DefaultObjectFactory(),
                new DefaultObjectWrapperFactory(), new DefaultReflectorFactory());
        BoundSql boundSql = (BoundSql)metaObject.getValue("delegate.boundSql");
        // 获取执行的SQL
        String sql = boundSql.getSql();
        // 获取执行的参数
        Object parameterObject = boundSql.getParameterObject();
        // 需要拦截的参数是map类型,{tableName="",id=""...},因此可以转Map的继续,其他的放行
        if(parameterObject instanceof MapperMethod.ParamMap){
            // 判断是否存在需要替换的表,不存在放行
            if (sql.contains(SOURCE_TABLE)) {
                // 替换的表名,从参数中获取
                String tableName = String.valueOf(((MapperMethod.ParamMap) parameterObject).get("tableName"));
                if(Objects.nonNull(tableName)){
                    sql = sql.replaceAll(SOURCE_TABLE, tableName);
                    // 替换执行的的SQL.
                    metaObject.setValue("delegate.boundSql.sql", sql);
                }
            }
        }
        return invocation.proceed();
    }

    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {
    }
}

修改后的sql

select * from wait_swap_table where id=#{id};
来一份酸菜鱼
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Mybatis动态调用名和字段名的解决方法
09-01
今天在项目开发中有个业务是需要限制各个用户对某些里的字段查询以及某些字段是否显示,这种情况下,就需要构建sql来动态传入名、字段名了,下面给大家介绍mybatis动态调用名和字段名的解决方法,一起看看吧
mybatis拦截修改执行sql语句
09-11
通过mybatis拦截将查询语句、更新语句、删除语句、插入语句中指定替换为另一个
MyBatis动态拦截sql并修改
ewcc_ycl的博客
06-02 4187
动态拦截sql以注解实现
SpringBoot - MyBatis-Plus使用详解2(设置实体类对应的名、字段名 )
w710537643的博客
03-16 8391
二、设置模型对应的名、字段名 1,设置关联的名 (1)默认情况下,如果数据库是使用标准的下划线命名,并且能对应上实体类的类名,我们就不需要特别去手动匹配。比如有张 user_info ,那么会自动匹配下面这个实体类: @Data public class UserInfo { private Integer id; private String userName; private String passWord; } (2)如果数据库中所有都有个名前缀,比如我们想让 t
MyBatis拦截修改sql
weixin_50545075的博客
03-28 3132
通过Mybatis拦截、自定义注解、获取参数来修改
Mybatis实现根据参数替换
weixin_42999287的博客
09-14 1888
实现根据参数动态替换
mybatis动态切换
cp199009的博客
10-10 535
log.info(“[dynamicTableName] 更换名成功,uri={},tableName={} 变更 tableName={}”,mybatis动态切换名。@author 王崇宇。
MybatisPlus动态
qq_44309969的博客
04-29 1737
mybatisplus动态
SpringBoot集成mybatis拦截修改
月月鸟先森的博客
05-01 4001
背景 公司的框架是基于mysql5.7开发的,最近有一个应用项目部署在linux系统上,使用的是mysql8.0,安装时未开启大小写敏感忽略,客户又不允许重装mysql环境,导致一些框架代码和业务代码中名使用大写的地方会出现名找不不到的情况,所以需要进行统一处理 自定义SQLAST适配 自定义ASTVisitorAdapter对名进行修改 public class MySqlExportTableAliasVisitor extends MySqlASTVisitorAdapter { @O
MybatisPlus动态修改
斧头湖懒客
02-17 7933
一,业务背景 业务上要求存储数据的时候根据某个字段动态的选择数据要存储的. 如根据code字段: code->[1001,1002]来进行选择存储的: 经过下面的配置实现动态名如 --> table1_1001,table_1002的效果.以此动态生成名的效果. 二,解决方案 使用mybatis-plus中的动态名插件,而且版本必须是3.1.2以上版本。 需求,将数据按照月份放在不同的中,2022年1月份数据放在monitor_accelerometer_rapid20220
mybatis-plus 名添加前缀的实现方法
09-07
主要介绍了mybatis-plus 名添加前缀的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
MyBatis-Plus 动态名SQL解析的实现
09-07
主要介绍了MyBatis-Plus 动态名SQL解析的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
mybatis-plus-extension-3.5.1-API文档-中英对照版.zip
05-04
赠送jar包:mybatis-plus-extension-3.5.1.jar; 赠送原API文档:mybatis-plus-extension-3.5.1-javadoc.jar; 赠送源代码:mybatis-plus-extension-3.5.1-sources.jar; 赠送Maven依赖信息文件:mybatis-plus-...
springboot+mybatis实现自定义分
ldcaws的专栏
12-27 2190
在做基于mybatis持久层开发时,由于单数据量增大,可能会考虑分进行处理,可以采用sharding-jdbc实现,这里基于mybatis自定义实现分组件进行实现,重点思考其实现逻辑和设计模式,学习底层原理。 具体涉及到的多联查,可进一步思考如何实现。 分需求:自定义分策略,可以为id取模,日期取月;可以通过注解进行引用; 前提:需提取建好结构; 核心逻辑:通过拦截,根据分策略得到分名,再把分动态替换到sql中; 未完待续。。。 ...
springboot使用mybatis动态名添加和删除,#{}与${}的用法
qq_19891197的博客
11-16 1417
springboot使用mybatis动态名添加和删除,#{}与${}的用法
mybatis拦截动态修改sql语句
热门推荐
zsj777的专栏
08-23 2万+
1、拦截代码 package com.ps.uzkefu.common; /** * Author:ZhuShangJin * Date:2018/8/23 */ import java.sql.SQLException; import java.util.Properties; import org.apache.commons.lang3.StringUtils; import...
使用mybatisInterceptor依据自定义注解来拦截SQL语句,并将语句中的替换
月夜流心的博客
05-29 618
/自定义拦截类 @Component @Intercepts({// 替换SQL String originalSql =(String) metaObject . getValue("delegate.boundSql.sql");log . info("拦截后sql :" + newSql);// 调用插件 return Plugin . wrap(target , this);// 设置拦截属性 } /*** 判断是否有此注解。
springboot+mybatis拦截
maying0124的博客
10-26 1928
mybatis 拦截
jdk8新特性----Lambda达式
最新发布
w_t_y_y的博客
05-11 153
Java的Lambda达式是Java 8引入的一个特性,它支持函数式编程,允许将函数作为方法的参数或返回值,从而简化了匿名内部类的使用,并提供了对并行编程的更好支持。
mybatis 动态拼接
11-01
Mybatis 是一种流行的 Java 持久层框架,用于与数据库进行交互。在实际开发中,有时需要根据不同的条件动态拼接名。以下是使用 Mybatis 实现动态拼接名的方法。 首先,在 Mybatis 的 SQL 映射文件中,我们可以使用动态 SQL 来根据条件拼接名。例如,使用 `<choose>` 标签和 `<when>` 标签来判断条件,并根据条件拼接不同的名,如下所示: ```xml <select id="selectData" parameterType="Map" resultMap="resultMap"> SELECT * FROM <choose> <when test="tableName == 'table1'"> table1 </when> <when test="tableName == 'table2'"> table2 </when> <otherwise> table3 </otherwise> </choose> WHERE id = #{id} </select> ``` 这里的 `tableName` 是一个传递给 SQL 的参数,用于判断选择哪个名进行拼接。 接下来,在 Java 代码中,我们只需将正确的名传递给 Mybatis 的 SQL 语句执行方法。例如,使用 `<map>` 来包装参数,并将 `tableName` 参数传递给 SQL,如下所示: ```java Map<String, Object> paramMap = new HashMap<>(); paramMap.put("id", 1); paramMap.put("tableName", "table1"); List<Map<String, Object>> result = sqlSession.selectList("selectData", paramMap); ``` 在上述代码中,我们将 `tableName` 参数设置为 "table1",这样 Mybatis 就会动态拼接 `table1` 名,并执行相应的 SQL 查询。 通过以上方法,我们可以实现根据不同的条件动态拼接名。这在某些场景下非常实用,例如在多租户系统中,根据不同的租户拼接不同的名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值