Mybatis注入新的参数

最新推荐文章于 2024-01-09 00:27:33 发布
最新推荐文章于 2024-01-09 00:27:33 发布
阅读量839 收藏
点赞数
分类专栏: Java 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z185665096/article/details/106090287
版权

背景说明

一般业务级的SQL会关联用户信息,那么在写SQL是需要将当前用户获取然后注入SQL中,最常见的方法是将用户信息当做条件传入(Map,实体属性、参数值等)

但是这种情况下都会在一定程度上破环了接口的抽象性,不够友好。那么下面考虑使用Mybatis运行时注入参数值。

代码示例

import com.github.pagehelper.util.MetaObjectUtil;
import com.unitechs.framework.context.UserContextHolder;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.apache.ibatis.cache.CacheKey;
import org.apache.ibatis.executor.Executor;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.plugin.*;
import org.apache.ibatis.reflection.MetaObject;
import org.apache.ibatis.session.ResultHandler;
import org.apache.ibatis.session.RowBounds;
import org.springframework.stereotype.Component;

import java.util.HashMap;
import java.util.Map;
import java.util.Properties;

/**
 * mybatis 动态增加用户id,只针对查询操作有效。
 *
 * @author zhuyuan 2019-10-24 09:24:25
 */
@Component
@Intercepts(
        {
                @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class}),
                @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class, CacheKey.class, BoundSql.class}),
        }
)
@Slf4j
public class MybatisSqlParamInterceptor implements Interceptor {

    private static final String CURRENT_USER_ID_KEY = "currentUserId";
    private static final String CURRENT_USERNAME_KEY = "currentUsername";
    private static final int NEW_ADDING_SIZE = 2;

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        Object[] args = invocation.getArgs();
        MappedStatement ms = (MappedStatement) args[0];
        Object parameter = args[1];
        RowBounds rowBounds = (RowBounds) args[2];
        ResultHandler resultHandler = (ResultHandler) args[3];
        Executor executor = (Executor) invocation.getTarget();
        CacheKey cacheKey;
        BoundSql boundSql;
        //将参数类型转化为MAP类型,同时将用户信息注入编译SQL
        parameter = processParameterObject(ms, parameter);
        if (args.length == 4) {
            boundSql = ms.getBoundSql(parameter);
            cacheKey = executor.createCacheKey(ms, parameter, rowBounds, boundSql);
        } else {
            cacheKey = (CacheKey) args[4];
            boundSql = (BoundSql) args[5];
        }
        return executor.query(ms, parameter, rowBounds, resultHandler, cacheKey, boundSql);
    }

    private Object processParameterObject(MappedStatement ms, Object parameterObject) {
        Map<String, Object> paramMap;
        if (parameterObject == null) {
            paramMap = new HashMap(NEW_ADDING_SIZE);
        } else if (parameterObject instanceof Map) {
            paramMap = new HashMap(((Map) parameterObject).size() + NEW_ADDING_SIZE);
            paramMap.putAll((Map) parameterObject);
        } else {
            paramMap = new HashMap(5);
            boolean hasTypeHandler = ms.getConfiguration().getTypeHandlerRegistry().hasTypeHandler(parameterObject.getClass());
            MetaObject metaObject = MetaObjectUtil.forObject(parameterObject);
            if (!hasTypeHandler) {
                String[] getterNames = metaObject.getGetterNames();
                int getterNamesLength = getterNames.length;

                for (int i = 0; i < getterNamesLength; ++i) {
                    String name = getterNames[i];
                    paramMap.put(name, metaObject.getValue(name));
                }
            } else {
                //注意、只有一个参数情况下只能使用'_parameter'注入了。
                paramMap.put("_parameter", parameterObject);
            }

            return this.processParameter(paramMap);
        }

        return this.processParameter(paramMap);
    }

    private Object processParameter(Map<String, Object> paramMap) {
        String userId = UserContextHolder.getUserId();
        String username = UserContextHolder.getUserName();
        if (StringUtils.isNotBlank(userId)) {
            log.debug("注入当前用户currentUserId=" + userId + "到查询参数中");
            log.debug("注入当前用户currentUsername=" + username + "到查询参数中");
            paramMap.put(CURRENT_USER_ID_KEY, Long.valueOf(userId));
            paramMap.put(CURRENT_USERNAME_KEY, username);
        }
        return paramMap;
    }

    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {

    }
}

代码说明

上文示例只考虑了查询情况下,其他情况请自行补充。

NO爷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mybatis 动态sql及参数传递
12-14
目录 使用场景 动态标签 if标签 where标签 choose、when、otherwise 标签 set标签 trim标签 forEach标签 参数传递 单个参数传递 多个参数传递 传入单个实体(JavaBean/Map) 传入多个实体 传入集合 使用场景 在实际开发过程中,我们往往需要编写复杂的SQL语句,拼接稍有不注意就会导致错误,Mybatis给开发者提供了动态SQL,大大降低了拼接SQL导致的错误。 动态标签 if标签 if标签通常用那个胡where语句,update语句,insert语句中,通过判断参数值来决定是否使用某个查询条件,判断是否更某一个字段或插入某个字段
Mybatisplus自动填充字段
letterss的博客
07-20 1164
做业务的时候经常会在进行增加、修改等操作时,给数据模型的一些通用操作属性(如:创建人、创建时间、修改人、修改时间等)自动赋值。 Mybatis拦截代码如下,该实现是在DAO层拦截,即存入DB前最后一层。 import com.baomidou.mybatisplus.core.handlers.MetaObjectHandler; import lombok.extern.slf4j.Slf4j; import org.apache.ibatis.reflection.MetaObject; impo
MyBatis框架动态代理及其参数的传入
越努力越幸运的博客
08-31 431
文章目录三、MyBatis框架Dao代理3.1 动态代理3.2 parameterType属性3.3 传入一个简单类型的参数3.4 传入多个参数3.4.1 使用@Param命名参数(掌握)3.4.2 使用对象参数(掌握)3.4.3 按位置传参(了解)3.4.4 Map传参(了解) 三、MyBatis框架Dao代理 3.1 动态代理 动态代理其实前面就已经用过了,就是直接使用SqlSession对象的getMapper(Dao接口.class)方法获取dao接口对象。 然后使用直接用这个dao的方法来调用我们
MYBATIS动态调用表名和字段名
long_chuanren的专栏
09-25 2049
一直在使用Mybatis这个ORM框架,都是使用mybatis里的一些常用功能。今天在项目开发中有个业务是需要限制各个用户对某些表里的字段查询以及某些字段是否显示,如某张表的某些字段不让用户查询到。这种情况下,就需要构建sql来动态传入表名、字段名了。现在对解决方法进行下总结,希望对遇到同样问题的伙伴有些帮助。 动态SQL是mybatis的强大特性之一,mybatis在对sql语句进行预编译之前...
mybatis执行无参数mapper方法
sinat_40284201的博客
05-30 982
记录一次mybatis使用无参数mapper方法踩的坑。 mybatis版本2.2.0 当时这么写的 mapper.java int updateA(); mapper.xml <update id="updateA"> update table_a set a = 1 where a = 2; </update> serviceImpl.java mapper.updateA(); 语句经过测试,没有问题,但是到了代码中,执行到调用此方法 serviceI
Mybatis防止sql注入的实例
08-30
然而,在mybatis中,也不是所有的参数都可以使用#{xxx}这样的格式,例如涉及到动态表名和列名时,只能使用${xxx}这样的参数格式,这样的参数需要我们在代码中手工进行处理来防止注入。例如:”map”> select id,...
MyBatis参数处理实现方法汇总
09-07
- `#{}`:以预编译方式设置SQL参数,防止SQL注入,对应PreparedStatement。 - `${}`:直接拼接在SQL语句中,可能存在安全风险,一般不推荐使用,除非在某些特定场景如分表、排序等。 9. **#{}的扩展用法**: - ...
mybatis防止SQL注入的方法实例详解
08-27
MyBatis 防止 SQL 注入的方法实例详解 SQL 注入是一种简单的攻击手段,但直到今天仍然十分常见。MyBatis 作为一个流行的持久层框架,如何防止 SQL 注入呢?下面我们将详细介绍 MyBatis 防止 SQL 注入的方法实例详解...
关于mybatis mapper类注入失败的解决方案
08-19
"MyBatis Mapper类注入失败解决方案" MyBatis是一款流行的持久层框架,广泛应用于Java应用程序中。但是,在使用MyBatis时,可能会遇到Mapper类注入失败的问题。本文将介绍MyBatis Mapper类注入失败的解决方案,并...
简单了解Mybatis如何实现SQL防注入
08-25
使用$时,Mybatis将传入的参数直接拼接到SQL语句中,从而导致SQL注入的风险。例如:<select id="unsafeSelect" resultMap="testUser"> select * from user where id = ${id}。这时,如果我们传入的参数变成'' or 1=1...
MyBatis-Plus公共字段自动填充
LYQ
07-30 1643
我们在开发中经常遇到多个实体类有共同的属性字段,例如在用户注册时需要设置创建时间、创建人、修改时间、修改人等字段,在用户编辑信息时需要设置修改时间和修改人等字段。这些字段属于公共字段,也就是很多表中都有这些字段,能不能对于这些公共字段在某个地方统一处理,来简化开发呢?MybatisPlus公共字段自动填充,也就是在插入或者更的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。...
mybatis-plus实现自动注入时间或其他字段
绅士jiejie的博客
04-06 1732
先统一定义一下数据库的通用字段,抽取成一个父类,如下: package com.meijienet.mediaplatform.common.domain; import com.baomidou.mybatisplus.annotation.FieldFill; import com.baomidou.mybatisplus.annotation.TableField; import java.time.LocalDateTime; /** * @Author:jiejie * @Desc: 数
Mybatis入参的几种方式
qq_34823218的博客
12-15 4178
转载链接 Mybatis入参的几种方式_hans的博客-CSDN博客_mybatis 入参 我这里的格式没上面的链接清楚,可以直接去链接 这里主要研究研究向Mybatis中传参的几种方式。总结一下,顺便记录在此。 1.实体类入参 dao方法 public void addAdmin(Admin admin); mapper中 <insert id="addAdmin" parameterType="com.znkj.entity.Admi...
Mybatis 参数处理器注入配置解析流程
nobaldnolove的博客
12-13 648
Mybatis 类型处理器注入配置解析流程
Mybatis从0到1 SQL注入 参数占位符 XML配置 动态SQL
我亦无他,唯手熟尔
07-10 1256
预编译SQL有两个优势:性能更高更安全(防止SQL注入)性能更高:预编译SQL,编译一次之后会将编译后的SQL语句缓存起来,后面再次执行这条语句时,不会再次编译。(只是输入的参数不同)将敏感字进行转义,保障SQL的安全性。在页面原型中,列表上方的条件是动态的,是可以不传递的,也可以只传递其中的1个或者2个或者全部。而在我们刚才编写的SQL语句中,我们会看到,我们将三个条件直接写死了。如果页面只传递了参数姓名name 字段,其他两个字段 性别 和 入职时间没有传递,那么这两个参数的值就是null。
Mybaitis数据查询SQL日志自动注入参数
最新发布
jrlyt
01-09 433
开发中,如果遇到这样的日志,肯定会带来不必要的工作量,如果我们能自动将参数匹配到SQL中,排查SQL将会变得轻而易举。通过自动化的参数匹配,我们可以减少手动操作的繁琐,提高开发效率,并确保数据的准确性和安全性。在实现参数自动匹配时,我们可以采用一些技术手段。下面介绍的是通过Mybatis-plus拦截器实现自动参数注入。:编写Mybatis-plus拦截器。: 对sql输出拦截方法进行重写。: 对sql输出拦截方法进行重写。
Mybatis(持久层的框架),注入的三种方式
Camel
01-28 5151
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL(灵活)、存储过程(PLSQL模块化的组件,数据库的一部分)以及高级映射(表映射为Bean也可以将Bean映射为表)。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的 XML 或注解来配置和映射原生信息,将接口(框架的思想都是面向接口来编程)和 Java 的 POJO(Plain...
mybatis parameterType 传入多个参数的使用
热门推荐
猎人在吃肉
07-16 1万+
mybatis parameterType 多个参数 一、单个参数: public List&amp;amp;lt;XXBean&amp;amp;gt; getXXBeanList(@param(&amp;quot;id&amp;quot;)String id); &amp;amp;lt;select id=&amp;quot;getXXXBeanList&amp;quot; parameterType=&
MyBatis传入参数的方式
Top5软件工程硕士,先后在京东、字节从事多年Java后端开发、实时和离线大数据开发
02-03 1276
以下是传入两个参数的方式: 第一种,使用@Param注解,定义参数别名,即定义映射关系 DAO: public List findByUsernameAndPwd(@Param("userNameABC") String username, @Param("passWordDEF") String password); SQL: SELECT FROM t_user
mybatis sql注入
09-12
MyBatis是一个开源的持久层框架,它提供了一种将SQL语句与Java代码解耦的方式。尽管MyBatis是一个相对安全的框架,但在使用过程中,仍存在可能发生SQL注入攻击的风险。 要防止MyBatis SQL注入攻击,可以采取以下几种方法: 1. 使用参数化查询(Prepared Statement):确保所有的用户输入参数都通过参数占位符的方式传递到SQL语句中,而不是直接拼接到SQL语句中。这样可以避免恶意用户输入特殊字符来破坏SQL语句结构。 2. 输入验证和过滤:在接收用户输入之前,对输入进行合法性验证和过滤。可以使用正则表达式、白名单或黑名单等方式来限制输入内容的合法范围,并过滤掉可能造成SQL注入的特殊字符。 3. 使用MyBatis动态SQL功能:MyBatis提供了动态SQL功能,可以根据不同的条件动态拼接SQL语句。在使用动态SQL时,应该使用MyBatis提供的安全方法来拼接字符串,而不是直接拼接用户输入。 4. 限制数据库权限:为数据库用户设置合适的权限,最小化其对数据库的操作权限。这样即使发生注入攻击,攻击者也只能对具有限制权限的数据进行操作。 5. 定期更MyBatis版本:及时关注MyBatis的更和安全公告,及时更到最版本,以获取最的安全修复和功能改进。 总之,为了防止MyBatis SQL注入攻击,需要使用参数化查询、输入验证和过滤、动态SQL、限制数据库权限以及定期更MyBatis版本等多种手段来综合保护系统安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值