mybatis插件之自定义避免全表扫描插件实现

最新推荐文章于 2023-08-18 15:02:52 发布
最新推荐文章于 2023-08-18 15:02:52 发布
阅读量2.2k 收藏 1
点赞数 1
分类专栏: mybatis 文章标签: mysql 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40803011/article/details/120651107
版权

前言

  1. 上一篇知道IllegalSQLInnerInterceptor插件可以拦截没带条件的全表扫描,但在项目中经常有1=1的条件,这种情况在IllegalSQLInnerInterceptor是不被拦截的
  2. 关于JSQLParser的官网学习参考https://github.com/JSQLParser/JSqlParser/wiki
  3. 下面主要参考IllegalSQLInnerInterceptor插件实现一个符合项目需求的插件SelectCheckInterceptor
    3.1 全表查询排除1=1的条件
    3.2 支持某些全表查询

Jsqlparser条件表达式

  1. 调式示例
    	@Test
    public void testParse() throws Exception {
	   Statement stmt = CCJSqlParserUtil.parse("SELECT * FROM tab1 where 1 = 1");
	   Select select = (Select) stmt;
	   PlainSelect plainSelect = (PlainSelect) select.getSelectBody();
	   Expression where = plainSelect.getWhere();
    }
  2. Expression where有多种实现,当1=1时,where为EqualsTo
    在这里插入图片描述
    2.1 当有多个条件时,where为AndExpression,并且可以通过leftExpression属性进行嵌套
    在这里插入图片描述

恒等式 1 = 1 或 ‘1’ = ‘1’

  1. 当条件为where 1 = 1时,EqualsTo的leftExpression和rightExpression为LongValue
    1.1 当条件为where ‘1’ = ‘1’ 时,EqualsTo的leftExpression和rightExpression为StringValue
    在这里插入图片描述
  2. LongValue/StringValue 可以通过getValue方法获取其值
    在这里插入图片描述

自定义查询防全表查询的插件

参考IllegalSQLInnerInterceptor的实现

  1. 仿照IllegalSQLInnerInterceptor实现自定义查询校验的插件
    1.1 IllegalSQLInnerInterceptor继承JsqlParserSupport实现InnerInterceptor
    1.2 查询时插件执行哪些方法,在MybatisPlusInterceptor#intercept可知
    在这里插入图片描述
    在这里插入图片描述
    通过上面两副截图可以发现,在执行SQL时会调用两次Plugin#invoke。第一次是executor的形式,第二次是handler的形式

  2. InnerInterceptor#willDoQuery 判断是否执行,默认为true
    在这里插入图片描述

  3. InnerInterceptor#beforeQuery 操作前置处理,默认为空

  4. InnerInterceptor#beforePrepare 操作前置处理,在IllegalSQLInnerInterceptor中对sql做缓存处理
    4.1 重点关注一下InterceptorIgnoreHelper#willIgnoreIllegalSql(因为有些小表可以全表扫描)
    (1)通过下图发现,INTERCEPTOR_IGNORE_CACHE的key 可能是 mappedStatement 的 ID,也可能是 class 的 name
    在这里插入图片描述

  5. JsqlParserSupport#processSelect 处理查询,IllegalSQLInnerInterceptor对查询做分析校验

拦截忽略注解 @InterceptorIgnore

  1. 用法:在方法和类中加上@InterceptorIgnore注解
    在这里插入图片描述
  2. 注解的初始化
    2.1 mapper方法注解初始化:InterceptorIgnoreHelper#initSqlParserInfoCache(InterceptorIgnoreCache mapperAnnotation, String mapperClassName, Method method)
    2.2 mapper类注解初始化:InterceptorIgnoreHelper#initSqlParserInfoCache(Class<?> mapperClass)
  3. 构建拦截忽略缓存:InterceptorIgnoreHelper#buildInterceptorIgnoreCache
    在这里插入图片描述
  4. 在 InnerInterceptor#beforePrepare判断是否忽略:InterceptorIgnoreHelper#willIgnoreIllegalSql
    4.1 判断@InterceptorIgnore的illegalSql属性值,为true则忽略
    在这里插入图片描述
    在这里插入图片描述
    4.2 如果直接用BaseMapper的getAll,但有些想支持全表查询,可以重写加上注解@InterceptorIgnore
    在这里插入图片描述

实现防全表查询的插件

public class SelectCheckInterceptor extends JsqlParserSupport implements InnerInterceptor {

    /**
     * 缓存验证结果,提高性能
     */
    private static final Set<String> cacheValidResult = new HashSet<>();

    @Override
    public void beforePrepare(StatementHandler sh, Connection connection, Integer transactionTimeout) {
        PluginUtils.MPStatementHandler mpStatementHandler = PluginUtils.mpStatementHandler(sh);
        MappedStatement ms = mpStatementHandler.mappedStatement();
        SqlCommandType sct = ms.getSqlCommandType();
        //@InterceptorIgnore(illegalSql = "true") mapper类或方法上配此注解忽略校验
        if (sct == SqlCommandType.INSERT || InterceptorIgnoreHelper.willIgnoreIllegalSql(ms.getId())) return;
        BoundSql boundSql = mpStatementHandler.boundSql();
        String originalSql = boundSql.getSql();
        logger.debug("检查SQL是否合规,SQL:" + originalSql);
        String md5Base64 = EncryptUtils.md5Base64(originalSql);
        if (cacheValidResult.contains(md5Base64)) {
            logger.debug("该SQL已验证,无需再次验证,,SQL:" + originalSql);
            return;
        }
        parserSingle(originalSql, connection);
        //缓存验证结果
        cacheValidResult.add(md5Base64);
    }

    @Override
    protected void processSelect(Select select, int index, String sql, Object obj) {
        PlainSelect plainSelect = (PlainSelect) select.getSelectBody();
        Expression where = plainSelect.getWhere();
        Assert.notNull(where, "非法SQL,必须要有where条件");
        if(where instanceof EqualsTo){
            Expression left  =  ((EqualsTo) where).getLeftExpression();
            Expression right = ((EqualsTo) where).getRightExpression();
            if(left.getClass().isAssignableFrom(right.getClass())){
                if(left instanceof StringValue &&
                        ((StringValue) left).getValue().equals(((StringValue) right).getValue())){
                    throw new MybatisPlusException("非法SQL,必须要有where条件");
                }
                if(left instanceof LongValue &&
                        ((LongValue) left).getValue() == ((LongValue) right).getValue() ){
                    throw new MybatisPlusException("非法SQL,必须要有where条件");
                }
            }
        }
    }
}

小知识补充

Maven 父pom中dependencyManagement版本优先级高于传递依赖版本

  1. 父pom文件

    <dependencyManagement>
	<dependency>
        <groupId>org.mybatis</groupId>
        <artifactId>mybatis-spring</artifactId>
        <version>1.3.0</version>
  </dependency>
</dependencyManagement>

  2. 子模块的pom文件

    	 <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.3.4</version>
        </dependency>

  3. 此时该工程中mybatis-spring的版本将是1.3.0,即父pom dependencyManagement中的版本

snail-jie
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Mybatis-plus(分页、防全表更新插件
weixin_53565828的博客
03-20 398
Mybatis-plus分页、防全表更新插件使用
MyBatis Generator自定义插件实现自定义Mapper
12-02
MyBatis Generator自定义插件实现自定义Mapper,方便代码复用。
避免全表扫描的方法
heidyxlw的博客
08-18 1049
2. 索引并不是越多越好,索引固然可 以提高相应的 select 的效率,但同时也降低了 insert 及 update 的效率,因为 insert 或 update 时有可能会重建索引,所以怎样建索引需要慎重考虑,视具体情况而定。1.并不是所有索引对查询都有效,SQL是根据表中数据来进行查询优化的,当索引列有大量数据重复时,SQL查询可能不会去利用索引,如一表中有字段sex,male、female几乎各一半,那么即使在sex上建了索引也对查询效率起不了作用。
mybatis-plus实现非法sql拦截(防止全表更新与删除)
m0_51963973的博客
05-28 3583
不带where子句的delete和update,在生产环境中是不允许的。因为不带where子句的delete和update将会影响全表数据。这是非常可怕的!!
MySql避免全表查询
悦然的博客
10-05 2390
对查询进行优化,应尽量避免全表扫描,首先应考虑在 where 及 order by 涉及的列上建立索引:  .尝试下面的技巧以避免优化器错选了表扫描: ·   使用ANALYZE TABLE tbl_name为扫描的表更新关键字分布。 ·   对扫描的表使用FORCE INDEX告知MySQL,相对于使用给定的索引表扫描将非常耗时。            SELECT *
一次彻底解决因数据库全表扫描引发系统卡顿问题的实践
【欢迎关注公众号:冬瓜白】
12-02 678
问题所在 相信大家都遇到过因为数据库全表扫描生成大对象,然后系统疯狂 GC,引发系统卡顿的问题。能看到这样的 GC 日志: 2021-11-20T01:28:52.240+0800: 108542.888: [GC pause (G1 Humongous Allocation) (young) (initial-mark), 0.1276229 secs] 然后就是常规操作,jmap 下,MAT 看看内存,看到底是哪条 SQL 搞的鬼。 解决思路 我们常常会陷入这种“知道系统可能出现这样的问题,但是无法预
06实现mybatis分页插件demo
04-22
06实现mybatis分页插件demo06实现mybatis分页插件demo06实现mybatis分页插件demo06实现mybatis分页插件demo06实现mybatis分页插件demo06实现mybatis分页插件demo06实现mybatis分页插件demo06实现mybatis分页插件demo...
详解MyBatis自定义Plugin插件
08-27
这篇文章主要介绍了MyBatis自定义Plugin插件的相关知识,包括实现方法、Interceptor接口、插件注册等方面的内容。 MyBatis插件机制 MyBatis插件机制允许开发者在已映射语句执行过程中的某一点进行拦截调用。这意味...
IDEA的MyBatis插件两个
最新发布
03-07
内含:MyBatisCodeHelper-Pro、MybatisX
mybatis-plus分页传入参数后sql where条件没有limit分页信息操作
01-21
折腾了差不多两个小时,各种方法尝试,后来想想应该是where过滤后的数据量没有达到默认一页规定的数量所以干脆where就不显示limit信息了,试了一下还真是。。。这作者还真是把程序做的足够智能,可是这个智能也让我白白花掉了两个小时。。。还是自己太笨了…… 但是奇怪的是,如果我不设置QueryWrapper参数,where后面的分页限制又是可以出来的。百思不得其解作者的想法。。。 具体看代码: @Override public PageUtils queryPage(Map params) { IPage page = this
【RuoYi-Vue-Plus】学习笔记 09 - 数据权限调用流程分析(参照 Mybatis Plus 数据权限插件
MichelleChung的星球
01-12 7366
本文主要分析了框架数据权限实现以及调用的流程。
mybatis-plus3.4x 多租户屏蔽某个特定mapper的方法@InterceptorIgnore
热门推荐
qq_34168515的博客
01-05 2万+
文章目录 一、关于 @SqlParser @SqlParser(filter = true) 在mybatis-plus最新版本3.4中标记为过时 替代注解为: @Documented @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.TYPE, ElementType.METHOD}) public @interface InterceptorIgnore { 二、@InterceptorIgnore 的使用 拦截忽略注解 @Interce
数据权限拦截器,多租户拦截器
tianmaxingkonger的专栏
01-17 5835
由于官方提供的数据权限拦截器DataPermissionInterceptor,只能自己拼装SQL实现数据鉴权,拼装SQL操作比较困难,因此参考多租户拦截器,对数据权限拦截器进行了改造,简化了使用难度,见Demo源码仓库支持自定义数据权限标记列,即使用表的哪个列进行数据权限过滤支持自定义表白名单、账号白名单数据权限包括:是否是创建者、是否有部门数据权限select查询时,自动补充数据权限过滤条件insert添加时,自动校验插入数据的部门外键,是否在当前登录人的操作权限范围内。
Spring Boot + Mybatis Plus 拦截器实现数据权限
Jason
07-26 1411
实现InnerInterceptor,重写beforeQuery方法,表示在查询前执行,可以在这里拼接查询条件,还有个方法beforeUpdate,表示在更新前执行,暂时用不上。需求是需要根据公司id做数据权限,那么可以利用Mybatis的拦截器在新增和查询的时候进行干预,在新增的时候将上下文中的公司id丢进去,在查询的时候增加查询条件。注解指定字段在哪个时机,比如这个是在INSERT。...
mybatis-plus 动态where条件 2
weixin_43972670的博客
05-25 814
QueryWrapper wrapper = new QueryWrapper(); wrapper.eq(“sbh”,sbh); if (!StrUtil.isEmpty(spmc)){ wrapper.and(wr-> wr.like(“spmc”, spmc).or().like(“ggxh”, spmcNsr)); //SQL效果 where sbh=? and (spmc like ? or ggxh like ?) }
自定义插件解决MyBatis-Plus like查询遇_ % \等字符需转译问题(含分页查询)
qq_37857119的博客
02-17 5563
实现MyBatis-Plus自定义插件,解决like预处理参数_ & \通配符转译问题
基于mybatis-plus interceptor的数据权限以及自定义injector整合baseMapper
fasujbhf的博客
03-27 476
自定义dataScope/*** 限制范围的字段名称 (除个人外)/*** 限制范围为个人时的字段名称/*** 当前用户ID/*** 具体的数据范围/*** 限制范围为插入时的类型} @Getter @AllArgsConstructor @ApiModel(value = "DataScopeType" , description = "数据权限类型-枚举") public enum DataScopeType implements BaseEnum {/**
mybatis-plus where条件问题1
rxs的博客
07-31 4951
mybatis-plus where条件提出问题前提解决 提出问题 在只有order by而没有where的条件下,会出现where order by t1.memo的情况 前提 List<TaskLogBatch> listTaskLogBatchPage(Page<TaskLogBatch> page, @Param("ew") QueryWrapper queryWr...
mybatis自定义插件实现数据加密
07-08
要使用自定义插件实现MyBatis的数据加密功能,你可以按照以下步骤进行操作: 1. 创建一个Java类,实现MyBatis的`Interceptor`接口。这个类将作为你自定义插件的核心逻辑。 2. 在实现类中,重写`intercept`方法,该方法会拦截MyBatisSQL语句。你可以在这个方法中对需要加密的数据进行加密处理。 3. 在`intercept`方法中,你可以通过获取`MappedStatement`对象,进而获取到SQL语句的相关信息。你可以在这里判断是否需要对数据进行加密。 4. 在`intercept`方法中,在合适的时机,对需要加密的数据进行加密处理。可以使用加密算法,如AES或者RSA等进行数据加密。然后将加密后的数据替换原来的数据。 5. 最后,你需要在自定义插件实现两个必要的方法:`plugin`和`setProperties`。在`plugin`方法中,你可以使用MyBatis提供的`Plugin`类来包装你的拦截器;在`setProperties`方法中,你可以读取和设置插件的属性。 6. 在MyBatis配置文件中,将你的自定义插件添加到`<plugins>`标签内,以启用插件。 使用自定义插件可以灵活地控制数据加密的逻辑,但请注意在使用数据加密时确保数据的安全性和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值