sql 拦截

最新推荐文章于 2024-04-13 09:36:27 发布
最新推荐文章于 2024-04-13 09:36:27 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: 程序代码 文章标签: sql 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/taotao6086/article/details/126818594
版权

sql 拦截 笔记

背景

之前写过 使用p6spy+springboot 做数据库操作日志审计 但是随着需求迭代越来越多.功能模块也原来越多,对sql的审计工作越来越重要.先执行后审计已经越来越不满足需求了.在此背景下.做了一个轻量级的sql拦截.

实现方式

通过 com.github.gavlyukovskiy 对sql进行拦截,在执行sql前拦截sql,做校验.
需要执行的sql,对应开发人需要提前在系统中做报备.然后专家审核通过后才可以在系统中执行.

审核主要分为3个维度

1.业务维度,执行的sql,是否满足业务的要求.关联表的查询是否合理.
2.数据库维度,sql是否使用了索引,执行的sql是否有条件约束等等.
3.权限维度.sql执行后的影响范围,每次最多可以修改的数据限制等等.

1.sql报备,可以根据自己的情况开发系统来完成.

格式化sql方法,然后保存到系统中,同时每次验证需要执行的sql也是使用此方法.

package com.example.utils;

import com.alibaba.druid.sql.ast.SQLStatement;
import com.alibaba.druid.sql.dialect.mysql.parser.MySqlStatementParser;
import com.alibaba.druid.sql.dialect.mysql.visitor.MySqlSchemaStatVisitor;
import com.example.config.Constants;
import lombok.extern.slf4j.Slf4j;

import java.util.Arrays;
import java.util.List;
import java.util.stream.Collectors;

/**
 *
 * @Description:  sql工具类,解析sql
 * @Author:       liuht
 * @CreateDate:   2021-08-30 17:16:25
 * @Version:      V1.0
 *
 */

@Slf4j
public class SqlUtils {

    public static String getSql(String sql){
        return parseSql(sql);
    }

    public static void initSql(String sql,String methodName){
        String parseSql = parseSql(sql);
        Constants.SQL_MAP.put(methodName,parseSql);
//        System.out.println(Constants.SQL_MAP.toString());
    }

    private static String parseSql(String sql) {

        sql = sql.replaceAll("[\r\n]", " ");
        MySqlStatementParser parser = new MySqlStatementParser(sql);
        SQLStatement sqlStatement = parser.parseStatement();

        MySqlSchemaStatVisitor visitor = new MySqlSchemaStatVisitor();
        sqlStatement.accept(visitor);

        String optTable = visitor.getTables().entrySet().stream().map(nameTableStatEntry -> nameTableStatEntry.getValue().toString().toLowerCase() + "_opt" + "@@" + nameTableStatEntry.getKey().getName().toLowerCase() + "_table")
                .collect(Collectors.joining("@@"));

        String cols = visitor.getColumns().stream().filter(column -> {
            if (optTable.toLowerCase().startsWith("select")) {
                return column.isSelect();
            } else if (optTable.toLowerCase().startsWith("update")) {
                return column.isUpdate();
            } else {
                return true;
            }
        }).map(column -> column.toString() + "_col").collect(Collectors.joining("@@"));


        String isWhere = "noWhere";
        if (visitor.getConditions().size() > 0) {
            isWhere = "where";
        }

        List<String> limitList = Arrays.stream(sql.split(" ")).filter(str -> "limit".equals(str.toLowerCase())).collect(Collectors.toList());

        String isLimit = "noLimit";
        if (limitList.size() > 0) {
            isLimit = "limit";
        }

//        System.out.println(String.join("@@", optTable, cols, isWhere, isLimit));
        return String.join("@@", optTable, cols, isWhere, isLimit);

    }
}

sql格式化思路

sql的格式太多.这里我找了一个简单的方法来实现.通过sql解析出sql的操作类型,操作的数据库表,操作的列,是否有where,是否有limit最后生成一个sql格式化字符串.也就是我们需要审计的.

格式化之后的sql:

#sql1
select_opt@@person_table@@person.*_col@@where@@noLimit

#sql2
select_opt@@person_table@@person.id_col@@person.first_name_col@@person.last_name_col@@person.birth_date_col@@person.deleted_col@@where@@noLimit

通过上面可以看出来2个sql的区别在于第一个查询了 person.*,而第二个sql查询的具体的列
同样的方式,我们可以格式化出update sql要修改的表,修改的列,是否有where等.
insert sql要插入的表,要插入的列,是否有where等.

2.sql拦截,在引入com.github.gavlyukovskiy包后,通过实现QueryExecutionListener来实现

引入pom文件

		<!--sql拦截包-->
		<dependency>
			<groupId>com.github.gavlyukovskiy</groupId>
			<artifactId>datasource-proxy-spring-boot-starter</artifactId>
			<version>1.7.1</version>
		</dependency>

核心代码

package com.example.config;

import com.example.utils.SqlUtils;
import lombok.extern.slf4j.Slf4j;
import net.ttddyy.dsproxy.ExecutionInfo;
import net.ttddyy.dsproxy.QueryInfo;
import net.ttddyy.dsproxy.listener.QueryExecutionListener;
import org.springframework.stereotype.Component;

import java.util.List;

/**
 * sql拦截器,可以拦截所有sql
 */

@Slf4j
@Component
public class SqlInterceptor implements QueryExecutionListener {


    @Override
    public void beforeQuery(ExecutionInfo executionInfo, List<QueryInfo> list) {
        //TODO 这里在sql执行前进行拦截,可以做一些权限的校验
        FastThreadLocalEntity fastThreadLocalEntity =  Constants.threadLocal.get();
        for (QueryInfo queryInfo : list) {
            log.info("beforeQuery 执行sql={}",queryInfo.getQuery().replaceAll("[\\t\\n\\r]", " "));
            //报备的sql
            String sql = Constants.SQL_MAP.get(fastThreadLocalEntity.getRequestMethod()).toString();
            //当前执行的sql
            String nowSql = SqlUtils.getSql(queryInfo.getQuery().replaceAll("[\\t\\n\\r]", " "));

            if (!sql.equals(nowSql)){
                throw new CustomException(String.format("sql验证权限不对!,录入sql=%s,当前sql=%s",sql,nowSql));
            }
        }
    }

    @Override
    public void afterQuery(ExecutionInfo executionInfo, List<QueryInfo> list) {
        //TODO 这里在sql执行后进行拦截,可以做一些验证
//        for (QueryInfo queryInfo : list) {
//            log.info("afterQuery 执行sql={}",queryInfo.getQuery().replaceAll("[\\t\\n\\r]", " "));
//        }
    }
}

流程图

流程图

git地址

https://gitee.com/mr-liu-163/sqltest.git

taotao6086
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MSSQL性能监控SQL语句
11-19
MSSQL 性能监控 SQL语句 性能测试
自定义注解实现拦截sql,并在sql中增加相应的条件
qq_37716298的博客
10-08 4926
功能介绍 先说下这期实现的这个功能。 其实看起来很简单的一个功能。 原sql:select * from users WHERE username = ? 增加自定义注解后: 变成这样: SELECT * FROM users WHERE username = ? AND enabled = 1 看起来是不是一个很简单的功能,但我们要动态的实现这个功能。并且能要使用自定义注解的方式实现。 废话不多说,开干。 引入maven <dependency> <group
推荐项目:Spring Boot DataSource Decorator - 数据源装饰器
最新发布
gitblog_00003的博客
04-13 322
推荐项目:Spring Boot DataSource Decorator - 数据源装饰器 项目地址:https://gitcode.com/gavlyukovskiy/spring-boot-data-source-decorator 项目简介 Spring Boot DataSource Decorator 是一个由 Alexey Gavlyukovskiy 开发的开源项目,旨在为 Spri...
mybatis拦截拦截sql 并对sql进行修改--可应用于项目中需要对数据做权限控制
corn_bean的博客
06-20 2092
由于项目中需要对数据做权限控制。涉及要改动的sql非常多所有需要拦截sql,找寻统一的规则修改sql,获取到想要的结果。因此想到了用mybatis的拦截器。
java-mybatis-自定义interceptor拦截器-获取原生sql补全公共参数
草青工作室 的专栏
11-17 3481
环境 pgsql + jdk1.8 + mybatis + springboot。
手撕一个SQL拦截熔断功能
super_scan的专栏
09-30 675
需求:SQL熔断或者拦截作为保障数据库稳定的一种手段一般用在紧急解决数据库压力问题上,这在大多数云服务系统中都是适用的,1)上线了慢SQL、缺索引等没有提前发现2)数据库访问量大、压力较大...
Mycat之——SQL拦截
12-14
其实,看到这个标题后,我本人也会提出一个疑问:SQL拦截到底有什么用呢?,接下来,就让我们带着这个疑问来阅读本文。 为何需要使用Mycat的SQL拦截功能? 首先,我们来列举一个真实的案例场景:我们在实际的工作中...
mybatis 实现 SQL 查询拦截修改详解
09-09
在MyBatis框架中,SQL查询拦截修改是一种高级特性,它允许开发者在SQL执行的特定阶段插入自定义的逻辑,如添加额外的日志记录、性能分析、安全性检查等。这主要是通过实现`Interceptor`接口来完成的。 `Interceptor...
全局表一致性检测和SQL拦截改写的实现1
08-08
【全局表一致性检测和SQL拦截改写实现】 在分布式数据库系统中,全局表一致性是一个重要的问题,它确保在多个节点间的数据同步。本篇将详细解释如何实现针对全局表的一致性定时检测以及SQL拦截改写,特别是针对...
mybatis拦截器修改执行sql语句
01-04
1.网上搜索了很多,几乎都是能修改sql, 但是修改后的sql不生效,还是执行原来的sql. 2.这个版本亲测可以生效。 3.支持分页查询
自定义注解实现拦截sql.rar
10-08
以上就是利用自定义注解实现SQL拦截的基本原理和步骤,这个技术在处理复杂业务逻辑或者权限控制时非常有用,但同时也需要注意其潜在的风险和挑战。在实际项目中,应根据需求和项目规模合理使用。
MyBatis的动态拦截sql并修改
ewcc_ycl的博客
06-02 4410
动态拦截sql以注解实现
使用mybatis的@Interceptor实现拦截sql
健康平安的活着的专栏
03-25 2763
拦截器是一种基于 AOP(面向切面编程)的技术,它可以在目标对象的方法执行前后插入自定义的逻辑。
快速学习-Mycat SQL 拦截机制
逍遥云恋
02-24 1269
第 4 章 Mycat SQL 拦截机制 SQL 拦截是一个比较有用的高级技巧,用户可以写一个 java 类,将传入 MyCAT 的 SQL 进行改写然后交给Mycat 去执行,此技巧可以完成如下一些特殊功能: 捕获和记录某些特殊的 SQL; 记录 sql 查找异常; 出于性能优化的考虑,改写 SQL,比如改变查询条件的顺序或增加分页限制; 将某些 Select SQL 强制设置为 Read 模式,走读写分离(很多事务框架很难剥离事务中的 Select SQL; 后期 Mycat 智能优化,拦截所有 sq
MyBatis 自定义 SQL 拦截
m0_62301431的博客
10-24 7321
本文主要是讲通过 MyBaits 的 Interceptor 的拓展点进行对 MyBatis 执行 SQL 之前做一个逻辑拦截实现自定义逻辑的插入执行。 适合场景: 1. 比如限制数据库查询最大访问条数; 2. 限制登录用户只能访问当前机构数据。 定义是否开启注解 定义是否开启注解, 主要做的一件事情就是是否添加 SQL 拦截器。 // 全局开启 @Retention(RetentionPolicy.RUNTIME) @Target(ElementType.TYPE) @Documented
防止SQL注入的四种方案
dehuisun的专栏
09-05 9433
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
Oracle中间件 - 不安全SQL拦截
热门推荐
被遗忘de角落
11-22 10万+
1.概述 众所周知,不安全的SQL语句的执行将会给企业带来一定的损失。例如drop表操作、执行update、delete不带where条件的这种语法,都会造成严重的数据损失。有些情况是人为,还有些是工作人员疏忽引起的等等,但不管是那种行为,都有必要进行一定的防范。在应用层及环境不做变动的情况下,采取中间件的方式是比较合理的解决方案。也就是说使用者的使用方式还是跟以前一样,只是我们在应用层和数据库
java拦截jdbc执行sql
weixin_42581846的博客
02-12 756
Java 可以通过实现 JDBC 的拦截机制来拦截 JDBC 的 SQL 执行。这可以通过创建自定义的 JDBC 驱动来实现,该驱动将作为代理驱动存在,并在真正执行 SQL 命令之前拦截执行。 具体来说,可以通过实现 java.sql.Connection、java.sql.Statement 和 java.sql.PreparedStatement 接口来实现自定义 JDBC 驱动。在创建这些对...
SQL语句的嵌套
weixin_43903355的博客
08-25 3950
SQL中常见的嵌套包括以下几种: 1. SELECT语句的嵌套:在SELECT语句中嵌套其他的SELECT语句,如子查询和视图。 2. WHERE语句的嵌套:在WHERE语句中嵌套其他的WHERE语句,如使用IN、EXISTS、ANY、ALL等关键字。 3. JOIN语句的嵌套:在JOIN语句中嵌套其他的JOIN语句,如使用嵌套的LEFT JOIN或INNER JOIN。 4. 存储过程和函数的嵌套:在存储过程或函数中嵌套其他的存储过程或函数,以实现复杂的业务逻辑。 5. 触发器的嵌套:在触发器中
jdbc sql拦截
06-07
JDBC SQL拦截器是一种可以在JDBC执行SQL语句之前或之后拦截并处理SQL语句的工具。通过使用拦截器,可以对SQL语句进行修改、记录、统计、安全验证等操作,从而增强应用程序的功能和性能。 在Java中,可以使用开源的拦截器框架,如MyBatis等,来实现JDBC SQL拦截器。这些框架提供了一些接口和类,让开发者可以方便地编写自己的拦截器,并将其集成到应用程序中。一般来说,一个拦截器需要实现Interceptor接口,并通过配置文件或代码来注册到拦截器链中。 拦截器通常会提供以下功能: 1. SQL语句的记录和统计,包括执行时间、返回结果等信息; 2. SQL语句的修改,如添加查询条件、修改返回结果等; 3. SQL语句的安全验证,如防止SQL注入等; 4. 其他自定义的功能,如缓存、分页、数据加密等。 综上所述,JDBC SQL拦截器是一种非常有用的工具,可以帮助开发者实现各种复杂的功能和需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值