Mybaitis数据查询SQL日志自动注入参数

于 2024-01-09 00:27:33 发布
阅读量392 收藏 6
点赞数 9
分类专栏: 工具包 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46285265/article/details/135469366
版权

开发中,如果遇到这样的日志,肯定会带来不必要的工作量,如果我们能自动将参数匹配到SQL中,排查SQL将会变得轻而易举。通过自动化的参数匹配,我们可以减少手动操作的繁琐,提高开发效率,并确保数据的准确性和安全性。在实现参数自动匹配时,我们可以采用一些技术手段。

下面介绍的是通过Mybatis-plus拦截器实现自动参数注入。

第一步:导入依赖

<dependency>
      <groupId>com.baomidou</groupId>
      <artifactId>mybatis-plus-boot-starter</artifactId>
      <version>3.4.0</version>
</dependency>

第二步:编写Mybatis-plus拦截器

@Configuration
public class MybatisConfiguration {
    //    Mybatis SQl拦截器
    @Bean
    public MybatisPlusInterceptor mybatisPlusInterceptor(){
        MybatisPlusInterceptor mybatisPlusInterceptor = new MybatisPlusInterceptor();
        mybatisPlusInterceptor.addInnerInterceptor(new MybatisPlusAllSqlLog());
        return mybatisPlusInterceptor;
    }

}

第三步:  对sql输出拦截方法添加一个sql执行耗时方法

@Intercepts({
        @Signature(type = Executor.class, method = "update", args = {MappedStatement.class,
                Object.class}),
        @Signature(type = Executor.class, method = "query", args = {MappedStatement.class,
                Object.class, RowBounds.class, ResultHandler.class, CacheKey.class, BoundSql.class})})
public class SqlStatementInterceptor implements Interceptor {

    public static final Logger log = LoggerFactory.getLogger("sys-sql");

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        long startTime = System.currentTimeMillis();
        try {
            return invocation.proceed();
        } finally {
            long timeConsuming = System.currentTimeMillis() - startTime;
            log.info("执行SQL:{}ms", timeConsuming);
            if (timeConsuming > 999 && timeConsuming < 5000) {
                log.info("执行SQL大于1s:{}ms", timeConsuming);
            } else if (timeConsuming >= 5000 && timeConsuming < 10000) {
                log.info("执行SQL大于5s:{}ms", timeConsuming);
            } else if (timeConsuming >= 10000) {
                log.info("执行SQL大于10s:{}ms", timeConsuming);
            }
        }
    }

    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {

    }
}

第四步:  对sql输出拦截方法进行重写

public class MybatisPlusAllSqlLog implements InnerInterceptor {
    public static final Logger log = LoggerFactory.getLogger("sys-sql");

    @Override
    public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) throws SQLException {
        logInfo(boundSql, ms, parameter);
    }

    @Override
    public void beforeUpdate(Executor executor, MappedStatement ms, Object parameter) throws SQLException {
        BoundSql boundSql = ms.getBoundSql(parameter);
        logInfo(boundSql, ms, parameter);
    }

    private static void logInfo(BoundSql boundSql, MappedStatement ms, Object parameter) {
        try {
            log.info("parameter = " + parameter);
            // 获取到节点的id,即sql语句的id
            String sqlId = ms.getId();
            log.info("sqlId = " + sqlId);
            // 获取节点的配置
            Configuration configuration = ms.getConfiguration();
            // 获取到最终的sql语句
            String sql = getSql(configuration, boundSql, sqlId);
            log.info("完整的sql:{}", sql);
        } catch (Exception e) {
            log.error("异常:{}", e.getLocalizedMessage(), e);
        }
    }

    // 封装了一下sql语句,使得结果返回完整xml路径下的sql语句节点id + sql语句
    public static String getSql(Configuration configuration, BoundSql boundSql, String sqlId) {
        return sqlId + ":" + showSql(configuration, boundSql);
    }

    // 进行?的替换
    public static String showSql(Configuration configuration, BoundSql boundSql) {
        // 获取参数
        Object parameterObject = boundSql.getParameterObject();
        List<ParameterMapping> parameterMappings = boundSql.getParameterMappings();
        // sql语句中多个空格都用一个空格代替
        String sql = boundSql.getSql().replaceAll("[\\s]+", " ");
        if (!CollectionUtils.isEmpty(parameterMappings) && parameterObject != null) {
            // 获取类型处理器注册器,类型处理器的功能是进行java类型和数据库类型的转换
            TypeHandlerRegistry typeHandlerRegistry = configuration.getTypeHandlerRegistry();
            // 如果根据parameterObject.getClass()可以找到对应的类型,则替换
            if (typeHandlerRegistry.hasTypeHandler(parameterObject.getClass())) {
                sql = sql.replaceFirst("\\?",
                        Matcher.quoteReplacement(getParameterValue(parameterObject)));
            } else {
                // MetaObject主要是封装了originalObject对象,提供了get和set的方法用于获取和设置originalObject的属性值,主要支持对JavaBean、Collection、Map三种类型对象的操作
                MetaObject metaObject = configuration.newMetaObject(parameterObject);
                for (ParameterMapping parameterMapping : parameterMappings) {
                    String propertyName = parameterMapping.getProperty();
                    if (metaObject.hasGetter(propertyName)) {
                        Object obj = metaObject.getValue(propertyName);
                        sql = sql.replaceFirst("\\?",
                                Matcher.quoteReplacement(getParameterValue(obj)));
                    } else if (boundSql.hasAdditionalParameter(propertyName)) {
                        // 该分支是动态sql
                        Object obj = boundSql.getAdditionalParameter(propertyName);
                        sql = sql.replaceFirst("\\?",
                                Matcher.quoteReplacement(getParameterValue(obj)));
                    } else {
                        // 打印出缺失,提醒该参数缺失并防止错位
                        sql = sql.replaceFirst("\\?", "缺失");
                    }
                }
            }
        }
        return sql;
    }

    // 如果参数是String,则添加单引号, 如果是日期,则转换为时间格式器并加单引号; 对参数是null和不是null的情况作了处理
    private static String getParameterValue(Object obj) {
        String value;
        if (obj instanceof String) {
            value = "'" + obj.toString() + "'";
        } else if (obj instanceof Date) {
            DateFormat formatter = DateFormat.getDateTimeInstance(DateFormat.DEFAULT,
                    DateFormat.DEFAULT, Locale.CHINA);
            value = "'" + formatter.format(new Date()) + "'";
        } else {
            if (obj != null) {
                value = obj.toString();
            } else {
                value = "";
            }
        }
        return value;
    }

}

第五步:  结果展示

JRLYT
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
参数查询为什么能够防止SQL注入
01-30
任何动态的执行SQL都有注入的风险,因为动态意味着不重用执行计划,而如果不重用执行计划的话,那么就基本上无法保证你写的SQL所表示的意思就是你要表达的意思。很多人都知道SQL注入,也知道SQL参数查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。首先:我们要了解SQL收到一个指令后所做的事情:具体细节可以查看文章:SqlServer编译、重编译与执行计划重用原理在这里,我简单的表示为:收到指令->编译SQL生成执行计划->选择执行计划->执行执行计划。具体可能有点不一样,但大致的步骤
mybatis 日志 sql参数替换工具
05-30
非常好用的,就是你们所要的 Mybatis日志参数快速替换占位符 sql参数替换工具html
Mybatis日志输出sql语句参数填充
weixin_43069875的博客
07-22 1966
Mybatis日志输出sql语句是带?的,要拎出来查询的话不太方便。所以写了这个,自动替换所有的?为实际的参数。 package com.shy; import lombok.Data; import java.util.ArrayList; import java.util.List; import java.util.regex.Matcher; import java.util.regex.Pattern; @Data public class SqlLog { private Strin
mybatis-plus配置控制台打印完整带参数SQL语句
热门推荐
★【World Of Moshow 郑锴】★
05-28 12万+
问题背景 通常我们开发的时候,需要联合控制台和Navicat/PLSQL等工具进行语句的拼接检查,如果只是输出了一堆???,那么将极大降低我们的效率。因此我们需要输出完整的SQL语句以便调试。 解决方案 如果是application.yml #mybatis-plus配置控制台打印完整带参数SQL语句 mybatis-plus: configuration: log-impl: org...
mybatis 通过拦截器打印完整的sql语句以及执行结果
Gogym的博客
04-02 8426
开发过程中,如果使用mybatis做为ORM框架,经常需要打印出完整的sql语句以及执行的结果做为参考。 虽然mybatis结合日志框架可以做到,但打印出来的通常都是sql参数分开的。 有时我们需要调试这条sql的时候,就需要把参数填进去,这样未免有些浪费时间。 此时我们可以通过实现mybatis拦截器来做到打印带参数的完整的sql,以及结果通过json输出到控制台。 直接看代码和使用方...
mybatis 通过拦截器打印完整的sql语句
演绎的专栏
03-16 2408
import java.text.DateFormat; import java.util.Date; import java.util.List; import java.util.Locale; import java.util.Properties; import java.util.regex.Matcher; import javax.servlet.http.HttpServ...
Mybatis打印完整SQL参数填充占位符
qq_23387129的博客
04-07 2367
如果在使用mybatis主件时候,默认的日志输出带有站位符的参数(?),如果SQL语句的参数较多,我们开发调试的时候一个一个填充参数,有时候会繁琐造成时间浪费。这时,可以使用mybatis的plugin功能,对sql语句的处理层面进行监控,实现控制台打印出完成的SQL。 实现步骤,在mybatis的全局配置文件中添加,配置如下 <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE configuration PUBLIC
mybatis sql 参数自动填充
最新发布
dream_snow2012的专栏
07-20 552
如果参数少还行,多了的话一不小心参数就会填充错误。后面发现mybatis log插件可以自动填充,不需要添加任何配置。1. 安装插件,搜索Mybatis Log Plugin。这样自动就生成了可执行sql了,提高了开发效率。2. 选中sql右键。
SQL注入 生成参数化的通用分页查询语句
01-01
想要防SQL注入,只能对输入的参数进行过滤,例如将一个单引号“’”转换成两个单引号“””,但这种做法是不安全的,厉害的黑客可以通过编码的方式绕过单引号的过滤,要想有效防SQL注入,只有参数查询才是最终的...
C#防SQL注入SqlParameter参数
12-30
开发的时候为了方便快速,经常会使用SQL语句拼接的方式,这往往让不法分子有了可乘之机,利用漏洞进行SQL注入,做一些不可描述的事情 SqlCommand cmd = new SqlCommand(); cmd.CommandText = select * from user ...
ibaties日志SQL参数填充工具
07-30
ibaties或者mybaties框架,log4j日志或者logback日志SQL输出参数不填充,是?形式,该工具将日志中的参数填充到SQL中。并且支持sql美化,使用方便。 双击`IbatiesSqlFill.jar`或者`IbatiesSqlFill.bat`或者`IbatiesSqlFill-取消dos窗口.vbs`运行java小程序。窗口化操作,有点丑,但是重在实用!
mybatis打印带参数sql几种实现方式及优缺点
JAVA之路的专栏
03-26 2176
mybatis打印带参数sql几种实现方式及优缺点 log4jdbc log4jdbc是google开源的用于专们打印sql日志的工具jar包,使用方法很简单。 第一步:引入maven包,如下: <dependency> <groupId>com.googlecode.log4jdbc</groupId> <artifactId>log4jdbc...
Mybatis指定sql入参的方式,${}和#{}的区别
m0_53881899的博客
09-15 813
动态代理之—Mybatis指定sql入参的方式,@Param指定参数,map指定参数。${}和#{}的区别
Mybatis 参数处理器注入配置解析流程
nobaldnolove的博客
12-13 638
Mybatis 类型处理器注入配置解析流程
mybatis日志在线生成sql(日志参数填充,sql日志格式化)
孤山听雨的博客
07-04 3573
背景:平时我们在看线上日志的时候,想知道一条执行sql的结果,需要把mybatis生成的日志copy出来,然后把参数一条条手动塞进去,简单sql还好,如果是复杂sql,尤其参数多达几十甚至上百个情况,这就头大.不仅非常耗时,而且容易出错. 针对上面出现的问题,我开发出了在线一键生成mybatis执行sql的网站,只需要把日志copy出来,点击一键转换就能轻松获得参数填充好的sql,大大节省了日志分析时间. 下面是使用方法: 1.将Preparing:日志copy出来,粘贴到Preparing.
ibaties日志SQL参数填充使用说明
fuguto的博客
07-30 706
ibatiesSqlFill使用说明 [外链图片转存失败(img-UEYQsyNH-1564479933126)( http://pu1z7qiwd.bkt.clouddn.com/pic/20190730164910.png)] 背景 ​ Java程序猿一枚,项目用的ibaties||mybaties,每天的任务就是写bug,有一天测试妹子说,日志里面的SQL都是语句,传入的变量都是???,有...
Mybatis注入新的参数
z185665096的专栏
05-13 822
背景说明 一般业务级的SQL会关联用户信息,那么在写SQL是需要将当前用户获取然后注入SQL中,最常见的方法是将用户信息当做条件传入(Map,实体属性、参数值等) 但是这种情况下都会在一定程度上破环了接口的抽象性,不够友好。那么下面考虑使用Mybatis运行时注入参数值。 代码示例 import com.github.pagehelper.util.MetaObjectUtil; import com.unitechs.framework.context.UserContextHolder; import
Mybatis框架的简单搭建(参数注入的方式)
qq_53909398的博客
03-13 1820
工具:idea 2021.3.0+maven (视频来源:硅谷,白嫖党懂的都懂) 包依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apac
格式化打印mybatisSQL语句,不用再手动复制参数填充
u010050427的专栏
03-19 542
具体内容见原创作者文章:https://blog.csdn.net/yuayi3136/article/details/92078366
防止sql注入参数查询示例
06-08
我们可以使用参数查询来防止 SQL 注入攻击,例如在 Python 中使用 MySQLdb 模块: ```python import MySQLdb # 连接数据库 conn = MySQLdb.connect(host='localhost', user='root', passwd='123456', db='test')...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值