mysql防注入插件_Mybatis插件-自定义拦截器

最新推荐文章于 2024-04-28 15:13:57 发布
最新推荐文章于 2024-04-28 15:13:57 发布
阅读量418 收藏
点赞数
文章标签: mysql防注入插件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39612733/article/details/113467417
版权

Mybatis插件通常意义就是自定义的拦截器,基于业务需求,需要在进行数据库查询之前或者之后进行拦截。如从线程变量中传递参数,动态修改SQL来实现数据的筛选,而不是每次在查询前,手动将条件注入到查询中;或者在不破坏原有查询逻辑时,动态的添加字段insert/update等;

类型有:

Executor、ParameterHandler、ResultSetHandler、StatementHandler

拦截器使用:

》@intercepts声明该类为拦截器,@signature声明拦截对象;

》method为我们需要拦截的prepare方法,type为所要拦截的接口类,args为prepare方法的参数;

》拦截器顺序

sqlSessionFactory.getConfiguration().InterceptorChain中的 pluginAll中遍历所有拦截器

通过调用拦截器的plugin()方法生成动态代理对象;

第一次循环的代理对象是原始的StatementHandler返回的是Plugin类型的代理类P1

第二次循环代理的对象是P1返回的是Plugin类型的代理类P2;

执行顺序并非1 > 2 >3,而是3 > 2 > 1

Interceptor3:{

Interceptor2: {

Interceptor1: {

target: Executor

}

}

}

举个栗子:

当需要根据当前用户的不同属性判别用户的数据权限,在不破坏原有数据查询逻辑的情况下,可通过拦截器实现数据权限过滤:

自定义EntitledQueryInterceptor 注入spring bean

@Intercepts(

{

@Signature(type = ParameterHandler.class, method = "setParameters", args = {PreparedStatement.class}),

@Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class}),

@Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class, CacheKey.class, BoundSql.class}),

}

)

public class EntitledQueryInterceptor implements Interceptor {

@Override

public Object intercept(Invocation invocation) throws Throwable {

}

@Override

public Object plugin(Object target) {

return (target instanceof Executor) ? Plugin.wrap(target, this) : target;

}

@Override

public void setProperties(Properties properties) {

}

}

在实际使用时,配合PageHelper等插件可能会产生冲突问题,PageInterceptor是executor拦截器,如果sqlSessionFactory.getConfiguration().InterceptorChain后加入了PageInterceptor,那么运行时就先执行PageInterceptor,此时如果自定义的拦截器添加了新参数在SQL中,就会出现参数NotFound error。

org.apache.ibatis.binding.BindingException: Parameter '*' not found. Available parameters are [*,*....]

解决办法:

》自定义spring configuration 如:

@Configuration

@AutoConfigureAfter(PageHelperAutoConfiguration.class)

public class CustomMybatisAutoConfiguration {

@Autowired

private List sqlSessionFactoryList;

@PostConstruct

public void addMyInterceptor() {

for (SqlSessionFactory sqlSessionFactory : sqlSessionFactoryList) {

sqlSessionFactory.getConfiguration().addInterceptor(new EntitledQueryInterceptor(entitledMapperValueResolver()));

}

}

@Bean

public EntitledMapperValueResolver entitledMapperValueResolver() {

return new EntitledMapperValueResolver();

}

}

PS:责任链模式

weixin_39612733
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql注入插件_MyBatis-Plus 3.0.3 Sql注入器添加,即全局配置Sql注入器,sqlInjector改写...
weixin_30679547的博客
01-28 433
官网上写着但是,这个其实是2.0系列的写法,由于引用了最新的3.0.3这个功能基本不好使.3.0.3版本的写法也就是中间加了一层,原来是AutoSqlInjector,现在改为AbstractSqlInjector.源码如图:写出自己的方法,命名为MyInjector,继承AbstractInjector.有个必须继承实现的方法getMethodList();如上图,继承后如下然后,就是模仿写法,...
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么.txt|Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么.txt
09-05
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么答案 Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么答案
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么?
webot123456的博客
03-17 647
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么? 答案:mybatis使用#{}经过预编译的,是安全的,防止sql注入Mybatis拦截器只能拦截四种类型的接口:Executor、StatementHandler、 ParameterHandler和ResultSetHandler。这是在Mybatis的Configuration中写死了的, 如果要支持拦截其他接口就需要我们重写 Mybatis 的 Configuration。Mybatis 可以对这四 个接口中
MyBatis 拦截器使用方法总结_mybatis拦截器的使用
最新发布
2401_84254418的博客
04-28 1308
拦截器默认可以拦截的类型只有四种,即四种接口类型、、和。对于我们的自定义拦截器必须使用提供的注解来指明我们要拦截的是四种类型中的哪一种接口。注解的参数: 2.1.1. type 拦截器默认会按顺序拦截以下的四个接口中的所有方法: 具体是拦截这四个接口对应的实现类: 这个可以根据源码了解下。根据参数类型区分重载的方法。进行拦截的时候要执行的方法。该方法参数类中有三个字段: 可通过这三个字段分别获取下面的信息: 拦截接口 接口实现类 2.2.2. plugin 插
[javaee高级] Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么?
webot123456的博客
05-24 237
Mybatis 如何防止 sql 注入mybatis 拦截器了解过吗,应用场景是什么? 答案:mybatis使用#{}经过预编译的,是安全的,防止sql注入Mybatis拦截器只能拦截四种类型的接口:Executor、StatementHandler、 ParameterHandler和ResultSetHandler。这是在Mybatis的Configuration中写死了的, 如果要支持拦截其他接口就需要我们重写 Mybatis 的 Configuration。Mybatis 可以对这四 个接口中
Mybatis自定义SQL拦截器
weixin_30868855的博客
12-17 719
本博客介绍的是继承Mybatis提供的Interface接口,自定义拦截器,然后将项目中的sql拦截一下,打印到控制台。 先自定义一个拦截器 package com.muses.taoshop.common.core.database.config; import org.apache.commons.lang3.StringUtils; import org.apache.ibatis.exe...
mybatis-pagination-master
01-30
4. 自定义拦截器:如果默认的拦截器不能满足需求,可以通过继承PageInterceptor并重写相应的方法来自定义拦截逻辑。 五、实际应用中的注意事项 1. 注意SQL注入:在使用分页插件时,要确保用户输入的页码和每页大小...
SpringBoot+Mybatis+ssm + Layui+mysql行为分析信息管理系统源码
06-24
3. SSM整合中的拦截器、AOP(面向切面编程)和事务管理。 4. Layui的组件使用与自定义样式,实现前端页面动态加载和交互。 5. MySQL的表设计、索引优化和SQL查询技巧。 6. RESTful API设计,用于前后端分离的通信。 ...
SpringBoot集成MyBatis-Plus实现国产数据库适配.docx
05-20
* 内置全局拦截插件:提供全表 delete 、update 操作智能分析阻断,也可自定义拦截规则,预误操作 MyBatis-Plus 支持的数据库包括: * MySQL * MariaDB * Oracle * DB2 * H2 * HSQL * SQLite * Postgre * SQL...
MyBatis-3.2.2
12-27
- **插件支持**:允许自定义插件,对MyBatis的执行过程进行拦截和增强。 使用MyBatis进行开发时,通常需要经历以下步骤: 1. 引入依赖(如jar文件)。 2. 配置MyBatis的主配置文件,指定数据源、事务管理器、...
mybatis-3.5.7.7z
10-04
6. **插件(Plugin)**:MyBatis允许用户自定义拦截器实现插件功能,如日志记录、性能分析等。通过拦截Executor、StatementHandler、ParameterHandler和ResultSetHandler四个接口的方法,可以在执行SQL前后添加...
Mybatis防止sql注入的实例
08-30
本文通过实例给大家介绍了Mybatis防止sql注入的相关资料,非常不错,具有参考借鉴价值,需要的朋友可以参考下
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
MyBatis拦截器 添加查询条件动态修改sql
08-17
通过mybatis拦截器,实现为所有sql(或指定sql) 统一添加查询条件,譬如通过线程变量传递某参数(日期),来实现对指定参数的数据筛选,而不需要在每个查询前,手动将该条件注入到查询中。因该资料网络较少,故特此分享,如有优化之处,希望大家多多指点。
mysql如何防止sql注入
XiWangDeFengChe的博客
01-26 4957
如果是原生jdbc操作,使用prepareStatement代替代替Statement,因为prepareStatement会预编译处理,参数用?占位符代替。 如果是mybatis框架,使用#{参数}设置参数,不要用${参数}
Mybatis SQL拦截器
m0_64332518的博客
09-04 397
Slf4j@Component)})@Override//未经过包装的sql/*** sql拦截器*/@Component))@Slf4j@Resource@Override//获取执行sql的类信息//自定义b//如果原SQL没变就不用反射if (!//通过反射设置新值接口/*** @description: 包装器修改权限的基础接口,自定义数据源皆要基于此接口/*** @param sql 原sql。
mybatis防止sql注入
jmdonghao的博客
07-14 681
当参数使用#{}  时,mybatis会有预编译的处理,将sql例如:select * from text where id = #{id}  ,sql执行前,会先预编译为  select * from text where id = ?  , 执行时,然后将?替换为实际的参数再进行执行。因为sql注入只能对编译过程起作用,所以这样的方式就很好地避免了sql注入的问题。同时也可以提高效率,执行相同
mysql注入插件_mybatis-plus插件使用的一些问题
weixin_39708708的博客
01-28 635
介绍mybatis-plus是国内大牛在Mybatis3的基础上做了一些封装,简化了一些操作(分页,自动生成实体块等)。是快速开发一个不错的工具插件Mybatis 增强工具包 - 只做增强不做改变,简化CRUD操作优点纯正血统:完全继承原生 Mybatis 的所有特性最少依赖:仅仅依赖Mybatis以及Mybatis-Spring性能损耗小:启动即会自动注入基本CURD ,性能无损耗,直接面向对...
MybatisPlus 之 插件
凉茶铺的博客
06-14 1802
MyBatis 允许你在已映射语句执⾏过程中的某⼀点进⾏拦截调⽤。默认情况下,MyBatis 允许使⽤插件来拦截的⽅法调⽤包括:我们看到了可以拦截Executor接⼝的部分⽅法,⽐如update,query,commit,rollback等⽅法,还有其他接⼝的⼀些⽅法等。总体概括为:1. 拦截执⾏器的⽅法2. 拦截参数的处理3. 拦截结果集的处理4. 拦截Sql语法构建的处理拦截器示例: 注⼊到Spring容器: 或者通过xml配置,mybatis-config.xml: 在MP中提供了对SQ
idea mybatis-plus代码生成器
07-27
- 内置全局拦截插件:提供全表delete、update操作智能分析阻断,也可以自定义拦截规则,预误操作。\[3\] 总之,MyBatis-Plus的代码生成插件是一个非常方便的工具,可以帮助开发者快速生成符合Mybatis-Plus风格的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值