【第23章】MyBatis-Plus之SQL数据安全保护

已于 2024-07-12 22:26:33 修改
阅读量394 收藏 4
点赞数 9
分类专栏: # mybatis-plus 文章标签: mybatis java 数据库
于 2024-07-08 19:19:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44824164/article/details/140081677
版权

文章目录

前言

MyBatis-Plus 提供了数据安全保护功能,旨在防止因开发人员流动而导致的敏感信息泄露。从3.3.2版本开始,MyBatis-Plus 支持通过加密配置和数据安全措施来增强数据库的安全性。

一、配置安全

1. YML 配置加密

MyBatis-Plus 允许你使用加密后的字符串来配置数据库连接信息。在 YML 配置文件中,以 mpw: 开头的配置项将被视为加密内容。

spring:
  datasource:
    url: mpw:qRhvCwF4GOqjessEB3G+a5okP+uXXr96wcucn2Pev6Bf1oEMZ1gVpPPhdDmjQqoM
    password: mpw:Hzy5iliJbwDHhjLs1L0j6w==
    username: mpw:Xb+EgsyuYRXw7U7sBJjBpA==

2. 密钥加密

使用 AES 算法生成随机密钥,并对敏感数据进行加密。

// 生成16位随机AES密钥
String randomKey = AES.generateRandomKey();

// 使用随机密钥加密数据
String encryptedData = AES.encrypt(data, randomKey);

3. 如何使用

在启动应用程序时,通过命令行参数或环境变量传递密钥。

// Jar 启动参数示例(在IDEA中设置Program arguments,或在服务器上设置为启动环境变量)
--mpw.key=d1104d7c3b616f0b

注意
加密配置必须以 mpw: 字符串开头。
随机密钥应由负责人妥善保管,知晓的人越少越好。

4. 数据安全

MyBatis-Plus 提供了字段加密解密和字段脱敏功能,以保护存储在数据库中的敏感数据。

  • 字段加密解密:对数据库中的特定字段进行加密存储,并在需要时解密使用。
  • 字段脱敏:对敏感字段进行脱敏处理,以隐藏或模糊敏感信息。

二、SQL 注入安全保护

MyBatis-Plus 提供了自动和手动两种方式来检查 SQL 注入风险。

1.自动检查

使用 Wrappers.query() 方法时,可以通过 .checkSqlInjection() 开启自动检查。

Wrappers.query()
// 开启自动检查 SQL 注入
.checkSqlInjection().orderByDesc("任意前端传入字段")

2. 手动校验

使用 SqlInjectionUtils.check() 方法进行手动校验。

// 手动校验前端传入的字段是否存在 SQL 注入风险
SqlInjectionUtils.check("任意前端传入字段")//@return true 非法 false 合法

三、实战

1. 配置加密

package org.example.springboot3.mybatisplus;

import com.baomidou.mybatisplus.core.toolkit.AES;

/**
 * Create by zjg on 2024/7/6
 */
public class SecureTest {
    public static void main(String[] args) {
        encrypt(args);
    }
    public static void encrypt(String[] args){
        if(args.length<1){
            System.err.println("缺少必要的参数");
            return;
        }
        // 生成16位随机AES密钥
        String randomKey = AES.generateRandomKey();
        System.out.println("--mpw.key="+randomKey);
        // 使用随机密钥加密数据
        String url = AES.encrypt(args[0], randomKey);
        String user = AES.encrypt(args[1], randomKey);
        String password = AES.encrypt(args[2], randomKey);
        System.out.println("mpw:"+url);
        System.out.println("mpw:"+user);
        System.out.println("mpw:"+password);
    }
    public static void decrypt(){
        String str = AES.decrypt("data", "key");
        System.out.println(str);
    }
}

Program arguments中输入配置信息,空格作为分隔符

在这里插入图片描述

2. 修改配置

spring:
  datasource:
    type: com.alibaba.druid.pool.DruidDataSource
    druid:
      driver-class-name: com.mysql.cj.jdbc.Driver
      url: mpw:a7qfNhof3QWE/ZG9kXsRp3OAmvTKUtEoplWqG8Kv6HnIx/AtbvKWV9xHyF2RRVBjU/rNHNxD5coPsZAW1jOH4SvjtpDrOxrRd/b9Oxbouru2SQexExI8wi+txRXcl0q2IvdStkAioc5h2BJy0mpN2WAoLC3QTB8LrRSAY5bWNS9srDQiR1PEUapM7Rqa99wc
      username: mpw:Pf7a3NpWt1WaqGExQCK5JA==
      password: mpw:zbvqB2O0M7IzVPkVAPDd8A==

3. 启动参数

// Jar 启动参数示例(在IDEA中设置Program arguments,或在服务器上设置为启动环境变量)
--mpw.key=PPrnjeqDwk2zBwHj

在这里插入图片描述

4. 启动

在这里插入图片描述

P6Spy打印sql语句,程序正常启动,配置加密成功。

总结

回到顶部

通过上述措施,MyBatis-Plus 帮助你构建了一个更加安全的数据库环境,保护了敏感数据不被泄露。

你知道“铁甲小宝”吗丶
关注
  • 9
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis-plus配置控制台打印完整带参数SQL语句的实现
09-07
Java开发中,MyBatis-Plus是一个基于MyBatis的增强工具,它简化了许多常见的数据库操作。在开发过程中,为了方便调试和优化SQL语句,有时我们需要在控制台打印出完整的、带有参数的SQL语句。本文将详细介绍如何在...
学习MyBatis-Plus3这一篇就够了
热门推荐
轻松的小希
11-25 8万+
MyBatis-Plus(简称 MP)是一个 MyBatis 的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。 我们的愿景是成为 MyBatis 最好的搭档,就像 魂斗罗 中的 1P、2P,基友搭配,效率翻倍。 文于2020年10月10日前更新出来,敬请期待! ...
巧用MybatisPlus的SQL注入器提升批量插入性能
战斧的博客
05-20 5339
上一次我们给大家详细讲解 MybatisPlus 的条件构造器wrapper。这次我们来讲另一个开发者需要了解的功能——SQL注入器,并以实战视角讲述如何利用该特性提升MybatisPlus 的批量插入性能
【第11MyBatis-Plus条件构造器(上)
zjg
07-01 1644
MyBatis-Plus 提供了一套强大的条件构造器(Wrapper),用于构建复杂的数据库查询条件。Wrapper 类允许开发者以链式调用的方式构造查询条件,无需编写繁琐的 SQL 语句,从而提高开发效率并减少 SQL 注入的风险。在 MyBatis-Plus 中,Wrapper 类是构建查询和更新条件的核心工具。以下是主要的 Wrapper 类及其功能:AbstractWrapper:这是一个抽象基类,提供了所有 Wrapper 类共有的方法和属性。它定义了条件构造的基本逻辑,包括字段(column)、
MyBatis & MyBatis-Plus详解
a5456456454的博客
05-01 2168
一、Mybatis入门 1.1 Mybatis历史 iBatis一词来源于“Internet”和“Abatis”的组合,是一个基于Java的持久层框架。iBatis提供的持久层框架包括SQL Maps和Data Access Objects(Dao)。 1.2 Mybatis特性 1)Mybatis是支持定制化SQL、存储过程以及高级映射的持久层框架 2)Mybatis避免了几乎所有的JDBC代码和手动设置参数以及获取结果集 3)Mybatis可以使用简单的XML或注解用于配置和原始映射,将接口和Java
MyBatis-plus学习
z_623623的博客
01-14 2469
一、MyBatis-plus是什么 MyBatis-plus(简称MP)是一个MyBatis的增强工具,在MyBatis的基础上只做增强不做改变,为简化开发、提高效率而生 特性:无侵入、损耗小、强大的CRUD操作,支持Lambda形式调用、支持主键自动生成,支持ActiveRecord模式、支持自定义全局通用操作、内置代码生成器、内置分页插件、分页插件支持多种数据库、内置性能分析插件、内置全局拦截插件。 二、MyBatis-plus的一些注解 1、@TableName 表名注解 注解在类上.
mybatis-plus基本内容
qq_44419734的博客
04-25 3076
提示:文写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 目录 文目录 一、为什么要引入mybatis-plus?它带来了什么帮助? 二、mybatis-plus的使用 1.mapper中的使用 2.读入数据 总结 一、为什么要引入mybatis-plus?它带来了什么帮助? 在mybatis中,我们在操作操作数据库时,还需要我们写SQ...
若依多数据源+mybatis-plus+baseMapper
qq_45856714的博客
05-22 441
yml:auto-runtime-dialect: true # 自动识别运行时的方言 # 加上这个。调用erp数据库,@DataSource(value = DataSourceType.ERP)配置后,可以直接调用BaseMapper中封装的方法,例如selectById等等。
Java:77-Mybatis-Plus详解
qq_59609098的博客
08-28 959
如果是Spring MVC,那么对应的依赖就是: 实际上Spring Boot也可以自己操作扫描,因为他也是一种方式而已,所以,我们也可以单独的操作其他框架 只是Spring boot帮我们操作了而已,使得方便,而单独时 如操作Spring,需要我们些配置文件或者注解(有其他方式,则自然可以使用其他方式),并操作才可 所以上面的依赖,并不是绝对的必须是对应的依赖,虽然使用Spring Boot操作时,需要 当然,若你创建Spring boot而不引入对应的依赖,那么自然,可以自己引入依赖来单独操作,这是可
ShardingSphere-JDBC小伙伴之Mybatis-plus
weixin_37669199的博客
12-14 1137
前言 看到现在网上很多关于ShardingSphere-JDBC的example都是基于4.x或者3.x的,而且官方的example为了复用,结构比较复杂,对新手及其不友好,这里简单梳理一下,从搭建服务到示例,尽可能的方便新手快速入手,本文使用的是ShardingSphere-JDBC的5.0.0-alpha,具体的详细信息请参阅官方:https://shardingsphere.apache.org/ 环境搭建 BuildDokcer Mysql Docker version 19.03.8 .
Mybatis-Plus
xinzhisuox的博客
04-17 1859
在复杂分布式系统中,往往需要大量的数据和消息进行唯一标识。比如支付宝每一个账号在数据库分表后都需要有一个唯一ID做标识。此时一个能够生成全局唯一ID的系统是非常必要的。全局唯一性:不能出现重复的ID号,既然是唯一标识,这是最基本的要求。趋势递增:在MySQL InnoDB引擎中使用的是聚集索引,由于多数RDBMS使用B-tree的数据结构来存储索引数据,在主键的选择上面我们应该尽量使用有序的主键保证写入性能。单调递增:保证下一个ID一定大于上一个ID,例如事务版本号、IM增量消息、排序等特殊需求。
MyBatis-Plus入门+MyBatis-Plus文档手册 中文pdf高清版.rar
11-09
mybatis在持久层框架中还是比较火的,一般项目都是基于ssm。虽然mybatis可以直接在xml中...《MyBatis-Plus入门文档》主要介绍了MyBatis-Plus入门使用,以及关于mybatis-plus的更多介绍及特性,感兴趣的可以下载学习一下
MyBatis-Plus 的官方示例(mybatis-plus-samples-master.zip)
05-05
本工程为 MyBatis-Plus 的官方示例,项目结构如下: mybatis-plus-sample-quickstart: 快速开始示例 mybatis-plus-sample-quickstart-springmvc: 快速开始...mybatis-plus-sample-execution-analysis: Sql执行分析示例
mybatis-plus源码(mybatis-plus-3.5.1.zip)
03-03
1. **CRUD操作**:MyBatis-Plus提供了简化版的CRUD操作,通过继承BaseMapper接口,无需编写任何SQL语句,即可完成基本的数据增删改查操作。 2. **条件构造器**:它的QueryWrapper和UpdateWrapper类允许开发者通过...
MyBatis-Plus 分页查询以及自定义sql分页的实现
09-07
MyBatis-Plus 是一个基于 MyBatis 的简化版本,它提供了一系列的便捷功能,包括自动 CRUD 操作、条件构造器、动态 SQL 等。其中,分页查询是 MyBatis-Plus 提供的一个重要特性,对于处理大量数据时非常有用。 ## 一...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 452
1.导入hutool的maven依赖。2.复制一下代码执行。
golang 接口
m0_70982551的博客
07-24 1144
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 256
1.导入hutool的maven依赖。2.直接复制一下代码运行。
mybatis-plus动态sql
08-18
Mybatis-plus是在Mybatis基础上进行封装的一个框架,它简化了平时开发过程中对常用接口的调用,可以省去一些繁琐的操作。然而,对于一些更为复杂的查询,Mybatis-plus可能无法满足需求,此时就需要我们自定义SQL语句来实现。通过在入口类的MybatisSqlSessionFactoryBuilder#build方法中注入mybatis-plus自定义的动态配置xml文件,可以实现自定义SQL语句和动态SQL的功能。具体的实现步骤如下: 1. 在应用启动时,在入口类的MybatisSqlSessionFactoryBuilder#build方法中将mybatis-plus的自定义动态配置xml文件注入到Mybatis中。 2. 在自定义的动态配置xml文件中,可以使用各种Mybatis-plus提供的方法来实现动态SQL的功能,比如IF标签、CHOOSE标签、FOREACH标签等。 3. 在自定义SQL语句中,可以结合Mybatis-plusWrapper类来实现条件查询,例如使用LambdaQueryWrapper来构建查询条件。 总结起来,Mybatis-plus提供了简化开发的接口,但对于一些更为复杂的查询,仍然需要我们自定义SQL语句和动态SQL来实现。通过注入自定义的动态配置xml文件,并结合Mybatis-plus提供的方法和Wrapper类,可以实现更加灵活和高效的数据查询。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [mybatis-plus/mybatis 自定义 sql 语句、动态 sql](https://blog.csdn.net/CREATE_17/article/details/109117091)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Mybatis Plus实现动态SQL语句的原理,你知道吗?](https://blog.csdn.net/weixin_38405253/article/details/119880820)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值