mybatis自定义@{}符号

最新推荐文章于 2024-08-03 21:02:21 发布
最新推荐文章于 2024-08-03 21:02:21 发布
阅读量871 收藏 4
点赞数
文章标签: mybatis java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38271463/article/details/130949910
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

前言

   工作中,mybatis的${}如果能切实避免sql注入,还是很好用的,比如动态字段、动态表名,但代码安全扫描可不管能不能避免,见到${}直接判定高风险,甚是恼人啊。我这几天就遇到了,动态表名功能可以用mybatis-plus里的DynamicTableNameParser类实现,但我用的是mybatis,框架不宜轻易更换,没办法只能研究DynamicTableNameParser,模仿着自己写一个动态表名的功能,然后赌气式的自定义了一个@{}替换符,我就不信你安全扫描还能扫出@{}

提示:以下是本篇文章正文内容,下面案例可供参考

一、研究一下DynamicTableNameParser的原理

1.mybatis的plugin功能

mybatis的plugin是针对于mybatis四大组件(Statementhandler、resultsethandler、parameterHandler、executor)做增强操作的,相当于spring中的AOP,平时用的最多的分页插件PageHelper就是通过plugin实现的,如以下mybatis-plus自带的分页插件代码

@Setter
@Deprecated
@Accessors(chain = true)
@Intercepts({@Signature(type = StatementHandler.class, method = "prepare", args = {Connection.class, Integer.class})})
public class PaginationInterceptor extends AbstractSqlParserHandler implements Interceptor {

实现Interceptor 接口,加上@Intercepts注解即可实现plugin功能,@Signature配置拦截规则,可配置多个,type只能配四大上述四大对象中的一个,配其他无效,method配对应的对象里的方法,args配方法的所有参数(不要多配或者遗漏,否则报错,找不到拦截的方法)。当程序执行到StatementHandler的prepare方法时,就会被拦截,执行PaginationInterceptor的intercept方法

@Override
    public Object intercept(Invocation invocation) throws Throwable {
        StatementHandler statementHandler = PluginUtils.realTarget(invocation.getTarget());
        MetaObject metaObject = SystemMetaObject.forObject(statementHandler);
        // SQL 解析
        this.sqlParser(metaObject);

intercept方法的其他部分未粘贴进来,感兴趣的可以看下源码,继续跟sqlParser方法,调用AbstractSqlParserHandler里的sqlParser方法

public abstract class AbstractSqlParserHandler {
		//在应用程序里,传入DynamicTableNameParser
    private List<ISqlParser> sqlParserList;
    private ISqlParserFilter sqlParserFilter;

    /**
     * 拦截 SQL 解析执行
     */
    protected void sqlParser(MetaObject metaObject) {
        if (null != metaObject) {
            Object originalObject = metaObject.getOriginalObject();
            StatementHandler statementHandler = PluginUtils.realTarget(originalObject);
            metaObject = SystemMetaObject.forObject(statementHandler);

            if (null != this.sqlParserFilter && this.sqlParserFilter.doFilter(metaObject)) {
                return;
            }

            // @SqlParser(filter = true) 跳过该方法解析
            if (SqlParserHelper.getSqlParserInfo(metaObject)) {
                return;
            }

            // SQL 解析
            if (CollectionUtils.isNotEmpty(this.sqlParserList)) {
                // 好像不用判断也行,为了保险起见,还是加上吧.
                statementHandler = metaObject.hasGetter("delegate") ? (StatementHandler) metaObject.getValue("delegate") : statementHandler;
                if (!(statementHandler instanceof CallableStatementHandler)) {
                    // 标记是否修改过 SQL
                    boolean sqlChangedFlag = false;
                    String originalSql = (String) metaObject.getValue(PluginUtils.DELEGATE_BOUNDSQL_SQL);
                    for (ISqlParser sqlParser : this.sqlParserList) {
                    	//使用DynamicTableNameParser
                        if (sqlParser.doFilter(metaObject, originalSql)) {
                            SqlInfo sqlInfo = sqlParser.parser(metaObject, originalSql);
                            if (null != sqlInfo) {
                                originalSql = sqlInfo.getSql();
                                sqlChangedFlag = true;
                            }
                        }
                    }
                    if (sqlChangedFlag) {
                        metaObject.setValue(PluginUtils.DELEGATE_BOUNDSQL_SQL, originalSql);
                    }
                }
            }
        }
    }
}

重点看这里 for (ISqlParser sqlParser : this.sqlParserList) {,sqlParserList里装的是一系列的实现了ISqlParser接口的解析器,SqlInfo sqlInfo = sqlParser.parser(metaObject, originalSql);这一行实现了sql里表名的替换

public class DynamicTableNameParser implements ISqlParser {
		//String为需要替换的表名,ITableNameHandler为动态表名处理器,即替换规则
    private Map<String, ITableNameHandler> tableNameHandlerMap;

    @Override
    public SqlInfo parser(MetaObject metaObject, String sql) {
        Assert.isFalse(CollectionUtils.isEmpty(tableNameHandlerMap), "tableNameHandlerMap is empty.");
        if (allowProcess(metaObject)) {
        		//将sql语句按空格切开成一个一个单词,然后通过from join等关键字确定表名
            Collection<String> tables = new TableNameParser(sql).tables();
            if (CollectionUtils.isNotEmpty(tables)) {
                boolean sqlParsed = false;
                String parsedSql = sql;
                for (final String table : tables) {
                    ITableNameHandler tableNameHandler = tableNameHandlerMap.get(table);
                    if (null != tableNameHandler) {
                    		//找到了该表名的替换器,process方法里替换
                        parsedSql = tableNameHandler.process(metaObject, parsedSql, table);
                        sqlParsed = true;
                    }
                }
                if (sqlParsed) {
                    return SqlInfo.newInstance().setSql(parsedSql);
                }
            }
        }
        return null;
    }
    public boolean allowProcess(MetaObject metaObject) {
        return true;
    }
}

感兴趣的朋友可以网上搜一下mybaits-plus实现动态表名的方法

二、实现自己的插件和sql解析器

按照mybatis-plus的步骤指引,一步步实现即可,先定义plugin,然后定义sql解析器,把mybatis-plus能用的类copy过来,不报错就差不多了。接下来引入springboot,将plugin连带着sql解析器注入进spring容器,建mapper即可验证,上代码,gitee地址:https://gitee.com/wangchaoam/mybatisCustomLabel.git
代码结构图

总结

因看不惯银行对${}的一刀切,搞出了@{}来代替 ${},其实最简单的方法还是改mybatis的源码,不用写这么多代码,不用花时间搞懂mybatis-plus里大佬写的代码,只要将@{}加到解析器里,地位等同于 ${}即可,但maven库又被锁死,休想上传自己的jar包。如有问题,欢迎提出,人生中第一篇博文,分享一下这两天的成功
·大龄初学者
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Mybatis自定义Sql模板语法
hpg0412的博客
11-09 2958
Mybatis自定义Sql模板语法
by mybatis 自定义order_Mybatis,Order By排序问题
weixin_35837926的博客
01-14 1140
public void findArticlesByCategory1() {// 分页中实现排序,利用下面封装好的方法,传参数即可PageBounds pb = new PageBounds(1, 3, new SortBy("id", Direction.DESC,"id"));Response> response = articleService.findArticlesByCateg...
Mybatis 使用 @变量名:=
weixin_46040901的博客
12-06 3070
1.使用前提 必须要在数据源上加上 allowMultiQueries=true,否则sql异常 2.注意事项 mysql中定义@变量是set SET @c = '2333';-- 定义变量并赋值 SELECT @c;-- 查询定义的变量的值 但是在Mybatis中定义变量时这样: <update id="updatePrice"> /*1.变量定义*/ select @isEnd:=0,@isFinish:=1; /*2.使用变量*/ update Sc_
关于Mybatis的@Param注解
junR_980218的博客
04-28 1223
关于Mybatis的@Param注解
by mybatis 自定义order_MyBatis 自定义参数排序实现
weixin_35299004的博客
12-24 766
MyBatis自定义参数排序注意事项(很容易掉坑):1. 正常传参使用#{}来接收参数,比如:m.grade = #{memberOrderBean.memberGrade},但是要排序的话order by后面需要使用${}符号,否则怎么排序失效。2. 当使用了@Param修饰参数的时候,xml里面的parameterType不需要写。Dao/*** 会员层级和会员购买详情搜索(共用该方法)* ...
mybatis执行自定义SQL语句
崩坏的芝麻
11-27 2134
mybatis中执行自定义SQL语句。 本次仍使用spring boot,其中关于引入mybatis和数据库配置不再说明。 UserInfoMapper.xml 映射文件 <!-- 自定义SQL语句 --> <select id="mySelect" resultType="map" parameterType="java.lang.String" > ${_param...
Mybatis自定义插件的理解与使用情景的举例
soberw的日常分享博客
04-18 927
基于mybatis框架强大的特性,mybatis允许我们在映射语句的执行过程中对某些方法的调用进行拦截加工,又因为其不是必须的,只根据需要创建,因此称之为自定义插件,实际上就是一个拦截器插件。
Mybatis中 @Select注解中如何拼写动态sql
热门推荐
无情的你,无情的雨!
05-30 2万+
现在随着mybatis plus的应用,越来越多的弱化了SQL语句,对于单表操作可以说几乎不需要进行自己编写SQL语句了,但对于多表查询操作目前mybatis plus还没有很好的支持,还需要自己编写SQL语句,如:import java.util.List; import org.apache.ibatis.annotations.Mapper; import org.apache.ibati...
mybatis入门及自定义mybatis框架实现简单查询
qq_44909430的博客
03-21 118
mybatis是一个优秀的基于 java 的持久层框架,它内部封装了 jdbc,使开发者只需要关注 sql 语句本身, 而不需要花费精力去处理加载驱动、创建连接、创建 statement 等繁杂的过程。 mybatis通过 xml 或注解的方式将要执行的各种statement配置起来,并通过java对象和statement 中 sql 的动态参数进行映射生成最终执行的 sql 语句,最后由 mybatis 框架执行 sql 并将结果映射为 java 对象并 返回。 采用 ORM 思想解决了实体和数据库映射.
Mybatis自定义拦截器,对模糊查询传值的特殊字符(\,_,%)统一进行转义处理的代码
07-27
代码包含: EscapeUtil.java:特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%...
MybatisX,idea插件
07-17
7. **自定义设置**:用户可以根据自己的习惯,调整MybatisX插件的各项设置,如快捷键、显示样式等,使插件更加符合个人需求。 安装MybatisX插件非常简单,只需要在IDEA的插件市场中搜索"MybatisX",找到"MybatisX -...
mybatis 模糊查询的实现方法
09-09
总结一下,MyBatis的模糊查询主要是通过`#`符号结合`%`通配符来实现的,它既保证了安全性,又提供了灵活的查询能力。在实际开发中,要根据具体需求选择合适的查询方式,并注意防止SQL注入问题。希望这篇介绍能帮助你...
Mybatis入门三天源码
09-17
6. **参数映射和结果映射**:Mybatis提供了自动参数映射和结果集映射功能,可以通过`#{}`符号引用传入的参数,通过`<resultMap>`定义复杂的对象关系映射。 7. **缓存机制**:Mybatis内置了两级缓存,一级缓存是...
MyBatis面试专题.pdf
03-11
- 在MyBatis配置文件中注册自定义插件。 #### 五、MyBatis动态SQL - **作用**:MyBatis支持在XML映射文件中使用标签来构建动态SQL,实现逻辑判断和SQL拼接等功能。 - **动态SQL标签**: - `trim`:去除前缀或...
J031_使用TCP协议支持与多个客户端同时通信
最新发布
lzn20161229的博客
08-03 207
使用TCP协议支持与多个客户端同时通信。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 619
1.导入hutool的maven依赖。2.复制一下代码执行。
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
m0_74283290的博客
08-03 622
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
社区养老服务小程序的设计
Karen198的博客
07-31 538
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
mybatis的@mapper注解
03-27
@MapperMyBatis框架中的注解,用于标注数据访问层的接口。使用@Mapper注解后,MyBatis会自动将该接口的实现类生成代理对象,并将其注入到Spring容器中,供其他服务调用。 @Mapper注解可以放在接口上,也可以放在类上。如果放在接口上,则表示该接口是MyBatisMapper接口,如果放在类上,则表示该类下的所有方法都是MyBatisMapper方法。 @Mapper注解的作用是告诉MyBatis框架,该接口是一个Mapper接口,需要自动生成实现类。该实现类会通过Spring的动态代理机制注入到容器中,供其他服务调用。同时,该注解还可以指定Mapper的命名空间,用于区分不同的Mapper接口。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值