mybatis-plus自定义插件解决模糊查询特殊字符转义问题

最新推荐文章于 2024-05-10 10:45:57 发布
最新推荐文章于 2024-05-10 10:45:57 发布
阅读量2.8k 收藏 26
点赞数 5
分类专栏: Utils 文章标签: mybatis mysql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yiqiu1959/article/details/128015577
版权

这里是针对mybatis-plus的模糊查询插件(InnerInterceptor), 我看网上很多都是在mybatis层面做拦截器(Interceptor) ,最后不是没生效,就是导致原先自己的 mapper 实体报错等问题。

背景:MySQL模糊查询时,如果前端传了特殊字符而后端没有对特殊字符转义的话,特殊字符就会被识别为SQL中的特殊字符,发挥其特殊字符的含义,如占位符’_‘、’%‘等,如需MySQL将这些字符识别为普通字符,则需要在其前面加上转义符,默认是反斜杠,即变为’_‘、’%'即可。

但是每个查询的地方都加转义,又麻烦又容易遗漏,所以借鉴类似AOP的思想,加一层拦截来解决,如果你的orm框架使用的mybatis-plus,则可以通过实现一个自定义插件解决,mybatis也有类似插件规范。

要求mybatis-plus的版本(starter)>=3.4.0

直接无脑上代码 复制粘贴就行
1、写拦截器插件

import cn.hutool.core.bean.BeanUtil;
import cn.hutool.core.lang.Filter;
import cn.hutool.core.util.StrUtil;
import com.baomidou.mybatisplus.core.conditions.AbstractWrapper;
import com.baomidou.mybatisplus.extension.plugins.inner.InnerInterceptor;
import org.apache.ibatis.executor.Executor;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.session.ResultHandler;
import org.apache.ibatis.session.RowBounds;

import java.sql.SQLException;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

/**
 * 自定义mybatis-plus拦截器, 用于转义模糊查询参数中的特殊字符
 *
 * @author wangjingyang
 * @date 2021/6/24 10:33
 */
public class EscapeLikeSqlInterceptor implements InnerInterceptor {
    /**
     * 点
     */
    public static final String DOT = ".";

    /**
     * 按?分割字符串表达式
     */
    public static final String PLACEHOLDER_REGEX = "\\?";

    /**
     * 按.分割字符串表达式
     */
    public static final String DOT_REGEX = "\\.";

    /**
     * like操作通配符
     */
    public static final char LIKE_WILDCARD_CHARACTER = '%';

    /**
     * like操作通常会存在的占位符形式
     */
    public static final String PLACEHOLDER = " ?";

    /**
     * 条件构造器生成sql特有的参数名前缀
     */
    public static final String WRAPPER_PARAMETER_PROPERTY = "ew.paramNameValuePairs.";

    /**
     * like语句在sql中的字符串
     */
    private final String LIKE_SQL = " like ";

    private static final String SQL_SPECIAL_CHARACTER = "_%*@|&()[]\"'\\";

    /**
     * 不应用此拦截器的参数名,方法参数中有此名称的参数则不应用此拦截器
     */
    private final String IGNORE = "EscapeLikeSqlIgnore";

    @Override
    public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) throws SQLException {
        if (parameter instanceof Map) {
            Map<?, ?> parameterMap = (Map<?, ?>) parameter;
            if (parameterMap.containsKey(IGNORE)){
                return;
            }
        }

        if (!needEscape(boundSql.getSql())) {
            return;
        }
        escapeSql(boundSql);
    }

    @Override
    public void beforeUpdate(Executor executor, MappedStatement ms, Object parameter) throws SQLException {
        if (parameter instanceof Map) {
            Map<?, ?> parameterMap = (Map<?, ?>) parameter;
            if (parameterMap.containsKey(IGNORE)){
                return;
            }
        }

        BoundSql boundSql = ms.getBoundSql(parameter);
        if (!needEscape(boundSql.getSql())) {
            return;
        }
        escapeSql(boundSql);
    }

    /**
     * sql是否需要转义
     *
     * @param sql
     * @return
     */
    private boolean needEscape(String sql) {
        return containLike(sql) && containPlaceholder(sql);
    }

    /**
     * sql是否包含like语句
     *
     * @param sql
     * @return
     */
    private boolean containLike(String sql) {
        return StrUtil.containsIgnoreCase(sql, LIKE_SQL);
    }

    /**
     * sql是否包含占位符
     *
     * @param sql
     * @return
     */
    private boolean containPlaceholder(String sql) {
        return StrUtil.contains(sql, PLACEHOLDER);
    }

    /**
     * 参数名是否是条件构造器生成
     *
     * @param property
     * @return
     */
    private boolean containWrapper(String property) {
        return StrUtil.contains(property, WRAPPER_PARAMETER_PROPERTY);
    }

    /**
     * 参数名是否是对象的嵌套表达式
     *
     * @param property
     * @return
     */
    private boolean cascadeParameter(String property) {
        return StrUtil.contains(property, DOT);
    }

    /**
     * 转义sql语句中的特殊字符
     *
     * @param boundSql
     */
    @SuppressWarnings("unchecked")
    private void escapeSql(BoundSql boundSql) {
        String[] split = boundSql.getSql().split(PLACEHOLDER_REGEX);
        Object parameter = boundSql.getParameterObject();
        Set<String> processedProperty = new HashSet<>();
        for (int i = 0; i < split.length; i++) {
            // like 通常在末尾
            if (StrUtil.lastIndexOfIgnoreCase(split[i], LIKE_SQL) > -1) {
                if (parameter instanceof Map) {
                    // 拿到此位置的"?"对应的参数名
                    String property = boundSql.getParameterMappings().get(i).getProperty();
                    // 防止重复转义
                    if (processedProperty.contains(property)){
                        continue;
                    }
                    Map<Object, Object> parameterMap = (Map<Object, Object>) parameter;
                    if (containWrapper(property)) {
                        // 条件构造器构造sql方式
                        handlerWrapperEscape(property, parameterMap);
                    } else {
                        // 自主写sql方式
                        handlerOriginalSqlEscape(property, parameterMap);
                    }
                    processedProperty.add(property);
                } else if (parameter instanceof String) {
                    // 单条件&&不通过条件构造器&&直接写sql&&mapper不写@Param注解,会导致parameter直接为参数值而不是map
//                    BeanUtil.setFieldValue(boundSql, "parameterObject", SqlUtil.addSalashes((String) parameter));
                    // 强行反射设置属性,暂不清楚为什么更改parameterObject无效
                    BeanUtil.setFieldValue(boundSql.getParameterObject(), "value", addSalashes(((String) parameter)).toCharArray());
                }
            }
        }
    }

    /**
     * 处理通过条件构造器构造sql的转义
     *
     * @param property        参数名
     * @param parameterObject 此条sql的参数map
     */
    private void handlerWrapperEscape(String property, Map<?, ?> parameterObject) {
        String[] keys = property.split(DOT_REGEX);
        Object ew = parameterObject.get(keys[0]);
        if (ew instanceof AbstractWrapper) {
            Map<String, Object> paramNameValuePairs = ((AbstractWrapper<?, ?, ?>) ew).getParamNameValuePairs();
            // 拿到参数值
            Object paramValue = paramNameValuePairs.get(keys[2]);
            if (paramValue instanceof String) {
                // 去除首尾%并转义后再拼上%
                paramNameValuePairs.put(keys[2], String.format("%%%s%%", addSalashes((String) paramValue, LIKE_WILDCARD_CHARACTER)));
            }
        }
    }

    /**
     * 处理自己写sql的转义
     *
     * @param property        参数名
     * @param parameterObject 此条sql的参数map
     */
    private void handlerOriginalSqlEscape(String property, Map<Object, Object> parameterObject) {
        if (cascadeParameter(property)) {
            // 级联形式的参数,比如参数是对象中的某个字段的值:filter.name
            String[] keys = property.split(DOT_REGEX, 2);
            Object parameterBean = parameterObject.get(keys[0]);
            Object parameterValue = BeanUtil.getProperty(parameterBean, keys[1]);
            if (parameterValue instanceof String) {
                BeanUtil.setProperty(parameterBean, keys[1], addSalashes((CharSequence) parameterValue));
            }
        } else {
            // 普通参数名
            parameterObject.computeIfPresent(property, (key, value) -> {
                if (value instanceof String) {
                    return addSalashes((CharSequence) value);
                }
                return value;
            });
        }
    }

    private static String addSalashes(CharSequence content, Filter<Character> filter){
        if (StrUtil.isEmpty(content)) {
            return StrUtil.str(content);
        }

        StringBuilder sb = new StringBuilder();
        for (int i = 0; i < content.length(); i++) {
            char c = content.charAt(i);
            if (filter.accept(c)) {
                sb.append('\\');
            }
            sb.append(c);
        }

        return sb.toString();
    }

    private static String addSalashes(CharSequence content, CharSequence applyCharacters){
        if (StrUtil.isEmpty(content)) {
            return StrUtil.str(content);
        }

        StringBuilder sb = new StringBuilder();
        for (int i = 0; i < content.length(); i++) {
            char c = content.charAt(i);
            if (StrUtil.contains(applyCharacters, c)) {
                sb.append('\\');
            }
            sb.append(c);
        }

        return sb.toString();
    }

    private static String addSalashes(CharSequence content){
        if (StrUtil.isEmpty(content)) {
            return StrUtil.str(content);
        }

        StringBuilder sb = new StringBuilder();
        for (int i = 0; i < content.length(); i++) {
            char c = content.charAt(i);
            if (StrUtil.contains(SQL_SPECIAL_CHARACTER, c)) {
                sb.append('\\');
            }
            sb.append(c);
        }

        return sb.toString();
    }

    private static String addSalashes(CharSequence content, char trimFix){
        if (content.charAt(0) == trimFix){
            content = content.subSequence(1,content.length());
        }
        if (content.charAt(content.length() - 1) == trimFix){
            content = content.subSequence(0,content.length() - 1);
        }

        return addSalashes(content);
    }
}

2、把拦截器插件加到mybatisplus插件集合

如果之前配置了分页插件,注意顺序,自定义插件要放在分页插件前面,否则会导致分页查询的总数对不上查询结果集 ,看日志就能看出就是 count(*) 查询总数的时候特殊字符没来得及加 “\",导致全表查。

@Configuration
public class MybatisPlusConfig {

    @Bean
    public MybatisPlusInterceptor mybatisPlusInterceptor() {
        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
        interceptor.addInnerInterceptor(new EscapeLikeSqlInterceptor());
        interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.MYSQL));
        return interceptor;
    }
}
一湫1959
关注
  • 5
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
mybatis-plus like 查询 转义特殊字符%_\
八重齒
12-22 4167
like CONCAT('%',?,'%') 查询的参数 中 包含 特殊字符 %_\ 导致结果查询结果不是期望值,被like查询字段值内容包含 %_\ 字符。
mybatis(mybatis-plus)映射文件(XML文件)中特殊字符转义
热门推荐
吴名氏的博客
09-01 7万+
mybatis(mybatis-plus)映射文件(XML文件)中特殊字符转义
自定义插件解决MyBatis-Plus like查询遇_ % \等字符需转译问题(含分页查询)
qq_37857119的博客
02-17 5573
实现MyBatis-Plus自定义插件解决like预处理参数_ & \通配符转译问题
MybatisPlus----- 插件功能
最新发布
m0_59281987的博客
05-10 1008
其中缺少的仅仅是分页条件,而分页条件不仅仅用户分页查询需要,以后其它业务也都有分页查询的需求。这里用到了分页参数,Page,即可以支持分页参数,也可以支持排序参数。MybatisPlus提供了很多的插件功能,进一步拓展其功能。在查询出分页结果后,数据的非空校验,数据的vo转换都是模板代码,编写起来很麻烦。所以,我们必须配置分页插件。:分页查询条件的实体,包含分页、排序参数、过滤条件。:分页结果实体,包含总条数、总页数、当前页数据。如果排序字段为空,默认按照更新时间排序。排序字段不为空,则按照排序字段排序。
mybatis/mybatis-plus模糊查询语句特殊字符转义拦截器
my_name_nb的博客
08-30 1771
在最近的公司开发中,遇到了这样的情况。在列表查询时录入了‘%,_’等特殊字符,而在查询时无法精确匹配‘%, _’。究其原因,‘%, _’是MySQL的关键字,如果我们想要精确匹配‘%, _’等特殊字符,那么需要对其进行转义。 有两种方式, 第一种 在具体的方法中针对特殊字段调用以下方法转义一次,优点:编码简单,缺点:机械,代码重复不灵活。 /** * 转义通配符 * * @param before 待转义字符串 * @return 转义后字符串 */ String escapeCha..
Mybatis解决模糊查询中有通配符的情况(用Escape关键字)
努力努力再努力
02-22 1622
Mybatis解决模糊查询中有通配符的情况(用Escape关键字)
MyBatis-Plus 分页查询以及自定义sql分页的实现
09-07
MyBatis-Plus 中,实现分页查询需要配置分页插件 `PaginationInterceptor`。以下是一个 Spring Boot 配置示例: ```java @Configuration public class MyBatisPlusConfig { @Bean public ...
mybatis-plus自定义模板.zip
05-28
在标题中提到的"mybatis-plus自定义模板.zip"文件,很可能包含了一套自定义Mybatis-Plus代码生成模板,供开发者使用。描述中的链接是一个CSDN博客文章,作者"xionglangs"分享了如何自定义Mybatis-Plus的模板,并...
MyBatis-plus 模糊查询的使用
09-07
MyBatis-plus提供了简单易用的模糊查询功能。 在MyBatis-plus中,模糊查询主要通过`QueryWrapper`类来实现。`QueryWrapper`是一个条件构造器,可以方便地构建复杂的查询条件。以下是如何使用`QueryWrapper`进行模糊...
MyBatis-Plus入门+MyBatis-Plus文档手册 中文pdf高清版.rar
11-09
mybatis-plus就很好的解决了这个问题MyBatisPlus是一个Mybatis的增强工具,在 Mybatis 的基础上只做增强不做改变,为简化开发、提高效率而生。它主要通过启动时自动注入基本CURD,达到简化操作的目的。 关于...
MyBatis-Plus 的官方示例(mybatis-plus-samples-master.zip)
05-05
本工程为 MyBatis-Plus 的官方示例,项目结构如下: mybatis-plus-sample-quickstart: 快速开始示例 mybatis-plus-sample-quickstart-springmvc: 快速开始示例(Spring MVC版本) mybatis-plus-sample-reduce-...
MyBatisPlus查询条件的值中包含转义符导致查询不出来数据
weixin_48907405的博客
05-08 567
这个url字符串中包含了大量的转义符,查询的sql语句中也包含了转义符,但是Navicat查询并没有问题,那么会不会是MybatisPlus查询中包含转义符的问题呢。那么就很离谱奥,我在想是不是这个url的问题呢,于是我就做了一条普通字符串的数据,真的就可以查出来了,那么就肯定是这个url的原因了,于是我就debug发现。然后神奇的一幕就出现了,查询出了数据,竟然真的是因为这个转义符所导致的问题。表单条件查询的时候,查询的字符串是一个url,从数据库中复制一条数据。于是我就尝试将字符串中的转义符删除掉。
【Util类:MyBatis&MyBatisPlus中like模糊查询特殊字符转码、转义
m0_56172703的博客
05-19 1259
MyBatis&MyBatisPlus中like模糊查询特殊字符转码、转义util工具类
MyBatis Plus之like模糊查询中包含有特殊字符(_、\、%)
御前提笔小书童
11-30 9436
解决思路:自定义一个拦截器,当有模糊查询时,模糊查询的关键字中包含有上述特殊字符时,在该特殊字符前添加\进行转义处理。 问题提出 使用MyBatis中的模糊查询时,当查询关键字中包括有_、\、%时,查询关键字失效。 问题分析 当like中包含_时,查询仍为全部,即 like '%_%'查询出来的结果与like '%%'一致,并不能查询出实际字段中包含有_特殊字符的结果条目 like中包括%时...
MybatisPlus 有转义的情况 模糊搜索
weixin_43444652的博客
04-07 475
MybatisPlus 有转义的情况 模糊搜索
动态sql和分页下(mybatis的分页及特殊字符
weixin_73471776的博客
08-25 109
Mybatis的分页功能很弱,它是基于内存的分页(查出所有记录再按偏移量offset和边界limit取结果),在大数据量的情况下这样的分页基本上是没有用的。(selectByLikebname是加两个字段分页举例;like4是调用pageHelp分页举例)(三种,示例:queryByMinMax)为什么要重写mybatis的分页?
Mybatis 中的转义字符用法及说明
m0_54861649的博客
08-02 2168
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。例如“”字符“>=”字符“...
mybatis-plus 拦截器解决模糊查询特殊字符转义问题
weixin_45636743的博客
07-20 583
处理mybatis-plus 模糊查询特殊字符转义问题,使用mybatis-plus 3.4.2版本,实现 InnerInterceptor。遗留Bug,不支持foreach方式,打印的仍然没有替换!问题sql控制台打印。
mybatis-plus自定义字查询
05-01
Mybatis-Plus提供了自定义SQL查询的功能,可以使用`@Select`注解来定义自己的SQL语句。 在自定义SQL语句中,可以使用Mybatis-Plus提供的一些占位符,如`${ew.customSqlSegment}`,这个占位符可以用来拼接动态SQL条件。 下面是一个示例,展示了如何使用自定义SQL查询进行模糊查询: ```java @Mapper public interface UserMapper extends BaseMapper<User> { /** * 自定义SQL查询,模糊查询用户信息 * @param name 用户名 * @return 用户信息列表 */ @Select("SELECT * FROM user WHERE name LIKE CONCAT('%', #{name}, '%')") List<User> selectUserByName(@Param("name") String name); } ``` 在上面的示例中,我们使用了`@Select`注解来定义了自己的SQL语句,其中使用了Mybatis-Plus提供的占位符`${ew.customSqlSegment}`来拼接动态SQL条件。 在实际使用中,我们可以根据具体的需求来编写自定义SQL查询语句,从而实现更加灵活的数据查询功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值