mybatis自定义sql非法字符拦截器

已于 2023-02-01 17:57:52 修改
阅读量210 收藏
点赞数
分类专栏: java实战 文章标签: mybatis java 数据库
于 2023-02-01 17:53:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yujiubo2008/article/details/128838080
版权

1、自定义拦截器

/**
* 自定义sql非法字符拦截器
*/
@Component
@Intercepts({
    @Signature(type = Executor.class, method = "update", args = {MappedStatement.class, Object.class}),
    @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class}),
    @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class, CacheKey.class, BoundSql.class})
})
public class MySqlInterceptor implements Interceptor {
    
    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        MappedStatement mappedStatement = (MappedStatement)invocation.getArgs()[0];
        Object parameter = null;
        if(invocation.getArgs().length > 1) {
            parameter = invocation.getArgs()[1];
        }
        BoundSql boundSql = mappedStatement.getBoundSql(parameter);
        if(isLegalSql(boundSql)){
            // 如果sql不包含非法字符则放行
            return invocation.proceed();
        } else {
            Configuration configuration = mappedStatement.getConfiguration();
            String sql = showSql(configuration, boundSql);
            throw new Exception("sql语句:[" + sql + "]存在安全隐患,拒绝执行");
        }
    }

    /**
    * 检查sql是否合法
    */
    private boolean isLegalSql(BoundSql boundSql) {
        String sql = boundSql.getSql();
        if(StringUtil.isEmpty(sql) || (!sql.toLowerCase().contains("where"))) return false;
        sql = org.springframework.util.StringUtils.trimAllWhitespace(sql);
        if(s.contains("1=1") && !s.toLowerCase().contains("1=1and")) return false;

        return true;
    }

    private String showSql(Configuration configuration, BoundSql boundSql){
        Object parameterObject = boundSql.getParameterObject();
        List<ParameterMapping> parameterMappings = boundSql.getParameterMappings();
        String sql = boundSql.getSql().replaceAll("[\\s]+", " ");
        if(parameterMappings.size() > 0 && parameterObject != null){
            TypeHandlerRegistry thr = configuration.getTypeHandlerRegistry();
            if(thr.hasTypeHandler(parameterObject.getClass())) {
                sql = sql.replaceFirst("\\?", Matcher.quoteReplacement(getParameterValue(parameterObject)));
            } else {
                MetaObject metaObject = configuration.newMetaObject(parameterObject);
                for(ParameterMapping parameterMapping : parameterMappings){
                    String propertyName = parameterMapping.getProperty();
                    if(metaObject.hasGetter(propertyName)) {
                        Object obj = metaObject.getValue(propertyName);
                        sql = sql.replaceFirst("\\?", Matcher.quoteReplacement(getParameterValue(obj)));
                    } else if(boundSql.hasAdditionalParameter(propertyName)) {
                        Object obj = boundSql.getAdditionalParameter(propertyName);
                        sql = sql.replaceFirst("\\?", Matcher.quoteReplacement(getParameterValue(obj)));
                    }
                }
            }
        }
        return sql;
    }

    private String getParameterValue(Object obj) {
        String value = null;
        if(obj instanceof String){
            // 已经包含引号
            String tmp = obj.toString();
            value = tmp.contains("'") ? tmp : "'" + tmp + "'";
        } else if(obj instanceof Date){
            FastDateFormat dateFormat = FastDateFormat.getInstance("yyyy-MM-dd HH:mm:ss");
            value = "'" + dateFormat.format(obj) + "'";
        } else {
            value = obj != null ? obj.toString() : "'" + " " + "'";
        }
        return value;
    }
}

2、注册拦截器bean

@Configuration
public class MybatisSqlInterceptConfig {
    
    @Bean
    public MySqlInterceptor sqlInterceptor() {
        return new MySqlInterceptor();
    }
}

yujiubo2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mybatis特殊字符处理
软件老王
07-10 3495
1. 场景描述 在web项目中经常会统计一些信息,会使用到大于小于等字符,但是在mybatis的mpper.xml中是不识别的。 2. 解决方案 2.1 使用处理标签 使用<![CDATA[]]>处理标签,该标签是针对xml文件的,标签的作用就是把标签内容按文本处理。 例如: 大于:<![CDATA[ > ]]> 大于等于:<![CDATA[ >= ]]&...
mybatis或者mybatisplus自定义sql拦截插件(Interceptor)
依然饭特稀的博客
06-24 1777
import org.apache.ibatis.session.SqlSessionFactory; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import java.util.Properties; @Configuration public class BatisPlusConfig { @Bean .
mybatis老是报不合法字符
hello_realWorld的博客
02-15 406
看看sql结尾是不是有个分号
MyBatis 自定义 SQL 拦截器(1),java面试笔试经典编程题
m0_63174618的博客
11-09 253
private static final Logger LOGGER = LoggerFactory.getLogger(MyBatisInterceptor.class); @Override public Object intercept(Invocation invocation) thro 【一线大厂Java面试题解析+后端开发学习笔记+最新架构讲解视频+实战项目源码讲义】 浏览器打开:qq.cn.hn/FTf 免费领取 ws Throwable { // TODO Auto-generated
ldea 一直报非法字符
坑里水库的博客
11-09 475
http://blog.csdn.net/isea533/article/details/52704160
Mybatis自定义拦截器,对模糊查询传值的特殊字符统一进行转义处理的代码
08-18
特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%*%)和半角模糊查询(%*或*%)
Mybatis自定义拦截器,对模糊查询传值的特殊字符(\,_,%)统一进行转义处理的代码
07-27
代码包含: EscapeUtil.java:特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%...
mybatis 实现 SQL 查询拦截修改详解
09-09
MyBatis框架中,SQL查询拦截修改是一种高级特性,它允许开发者在SQL执行的特定阶段插入自定义的逻辑,如添加额外的日志记录、性能分析、安全性检查等。这主要是通过实现`Interceptor`接口来完成的。 `Interceptor...
mybatis拦截器修改执行sql语句
01-04
1.网上搜索了很多,几乎都是能修改sql, 但是修改后的sql不生效,还是执行原来的sql. 2.这个版本亲测可以生效。 3.支持分页查询
通过Mybatis拦截器自动定位慢SQL并记录日志
05-30
Mybatis拦截器(Interceptor)是一种插件机制,它允许我们在Mybatis执行SQL语句之前或之后进行自定义操作,比如统计SQL执行间、添加日志等。拦截器基于Java的动态代理实现,可以拦截Mapper接口方法的调用。 接...
自定义Mybatis拦截器与动态SQL的完美结合
最新发布
weixin_45817985的博客
12-18 318
自定义Mybatis拦截器与动态SQL的完美结合
一文教你学会自己编写Mybatis插件(拦截器)实现自定义需求
wdj_yyds的博客
05-13 1771
最近在考虑写什么的,想到自己在项目中使用过的mybatis的插件,就想趁这个机会聊一聊我们接触频繁的Mybatis.如果是使用过Mybatis的小伙伴,那么我们接触过的第一个Mybatis的插件自然就是分页插件(Mybatis-PageHelper)啦。你有了解过它是如何实现的吗?你有没有自己编写 Mybatis 插件去实现一些自定义需求呢?插件是一种常见的扩展方式,大多数开源框架也都支持用户通过添加自定义插件的方式来扩展或改变框架原有的功能。
Java操作MyBatis-Plus通过自定义拦截器对mysql字段以注解形式实现自动加解密
weixin_43029331的博客
03-07 4993
Java操作MyBatis-Plus对mysql字段以注解形式实现自动加解密
java-mybatis-自定义interceptor拦截器-获取原生sql补全公共参数
草青工作室 的专栏
11-17 3535
环境 pgsql + jdk1.8 + mybatis + springboot。
Mybatis自定义SQL拦截器
weixin_30868855的博客
12-17 721
本博客介绍的是继承Mybatis提供的Interface接口,自定义拦截器,然后将项目中的sql拦截一下,打印到控制台。 先自定义一个拦截器 package com.muses.taoshop.common.core.database.config; import org.apache.commons.lang3.StringUtils; import org.apache.ibatis.exe...
mybtis自定义拦截器实现忽略大小写的模糊查询
墨落成白的博客
05-10 2988
项目场景: springboot项目中需要实现忽略大小写的模糊查询,底层数据库为pgsql 场景分析: 项目集成了mybatis,模糊查询一般使用like关键字,且pgsql本身提供ilike关键字实现忽略大小写的模糊匹配,因此可以考虑采用mybatis拦截器,对特定sql进行修改。 解决方案: package com.xxx; import lombok.extern.slf4j.Slf4j; import org.apache.ibatis.executor.statement.StatementH
Spring自定义数据源配置不当引起的Mybatis拦截器Interceptors 失效/不生效
Oxye
10-12 8717
目录内容Interceptor接口与@Intercepts注解PageHelper实现拦截器自定义数据源与拦截器的问题自定义数据源注入拦截器 内容 Interceptor接口与@Intercepts注解 org.apache.ibatis.plugin.Interceptor 是ibatis包的接口, org.apache.ibatis.plugin.Intercepts 是ibatis包的注解 我们可以实现Interceptor 接口,并标注@Intercepts注解, 做一个mybatis执行SQL
mybatis中特殊字符转义,CDATA
热门推荐
山月风成的博客
06-10 1万+
&amp;amp;amp;amp;amp;amp;amp;lt;select id=&amp;amp;amp;amp;amp;amp;quot;userInfo&amp;amp;amp;amp;amp;amp;quot; parameterType=&amp;amp;amp;amp;amp;amp;quot;java.util.HashMap&amp;amp;amp;amp;amp;amp;quot; resultMap=&amp;amp;amp;amp;
Mybatis 遇到特殊字符处理
kevin_spa的专栏
07-13 3265
问题描述: 当mybatis操作中遇到mysql关键字,Eclipse会报如下错误: 解决办法: 找到Mapping中相关sql的关键字段,在字段前后加上 ·字段·,重新保存启动即可。
mybatis自定义拦截器
09-15
MyBatis提供了自定义拦截器的功能,可以在执行SQL语句前后进行一些自定义的操作,比如日志记录、权限校验等。要实现自定义拦截器,你需要按照以下步骤进行操作: 1. 创建一个Java类,实现`Interceptor`接口。这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yujiubo2008

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值