MybatisPlus防全表更新与删除插件

于 2025-04-12 13:43:11 发布
阅读量397 收藏 3
点赞数 8
分类专栏: SpringBoot3启示录 文章标签: SQL WAF mybatis mybatis-plus
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/moshowgame/article/details/147164021
版权

BlockAttackInnerInterceptor 是 MyBatis-Plus 框架提供的一个安全插件,专门用于防止恶意的全表更新和删除操作。该插件通过拦截 update 和 delete 语句,确保这些操作不会无意中影响到整个数据表,从而保护数据的完整性和安全性。

功能特性

  • 阻止全表更新删除:插件能够识别并阻止没有指定条件的 update 和 delete 语句,这些语句可能会导致全表数据被修改或删除。
  • 保护数据安全:通过限制全表操作,减少因误操作或恶意攻击导致的数据丢失风险。

使用方法

1.注入插件:在 Spring Boot 配置类中,通过 @Bean 注解将 MybatisPlusInterceptor 注入到 Spring 容器中,并添加 BlockAttackInnerInterceptor 作为内部拦截器。

@Configuration
public class MybatisPlusConfig {

    @Bean
    public MybatisPlusInterceptor mybatisPlusInterceptor() {
        MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
        interceptor.addInnerInterceptor(new BlockAttackInnerInterceptor());
        return interceptor;
    }
}

2.配置拦截规则:插件默认拦截没有指定条件的 update 和 delete 语句。如果需要自定义拦截规则,可以参考 MyBatis-Plus 的文档进行配置。

测试示例

全表更新测试

@SpringBootTest
public class QueryWrapperTest {

    @Autowired
    private UserService userService;

    /**
     * SQL:UPDATE user  SET name=?,email=?;
     */
    @Test
    public void testFullUpdate() {
        User user = new User();
        user.setId(999L);
        user.setName("custom_name");
        user.setEmail("xxx@mail.com");
        // 由于没有指定更新条件,插件将抛出异常
        // com.baomidou.mybatisplus.core.exceptions.MybatisPlusException: Prohibition of table update operation
        Assertions.assertThrows(MybatisPlusException.class, () -> {
            userService.saveOrUpdate(user, null);
        });
    }
}

部分更新测试

以下测试示例展示了如何正确地执行部分更新操作,插件不会对此类操作进行拦截。

 

@SpringBootTest
public class QueryWrapperTest {

    @Autowired
    private UserService userService;

    /**
     * SQL:UPDATE user  SET name=?, email=? WHERE id = ?;
     */
    @Test
    public void testPartialUpdate() {
        LambdaUpdateWrapper<User> wrapper = new LambdaUpdateWrapper<>();
        wrapper.eq(User::getId, 1);
        User user = new User();
        user.setId(10L);
        user.setName("custom_name");
        user.setEmail("xxx@mail.com");
        // 由于指定了更新条件,插件不会拦截此操作
        userService.saveOrUpdate(user, wrapper);
    }
}
 

 

注意
 

  • 合理配置:确保在配置插件时,考虑到项目的实际需求,避免过度限制导致正常操作受阻。
  • 测试验证:在生产环境部署前,应充分测试插件的功能,确保其按预期工作。
 

BlockAttackInnerInterceptor 插件是 MyBatis-Plus 提供的一个重要的安全工具,它能够有效地防止全表更新和删除操作,保护数据库免受意外或恶意的数据破坏。通过合理配置和使用该插件,可以显著提高应用程序的数据安全性。

                

        

    

  



    


                



	

		

			

				
					
Mybatis-plus(分页、全表更新插件

				
			

			

				

					weixin_53565828的博客
				

				

					03-20
					
					512
					
				

			

		

		

			
				
Mybatis-plus分页、全表更新插件使用

			
		

	



                

            
              



	

		

			

				
					
MyBatis-Plus】逻辑删除、乐观锁、全表更新删除实现 MyBatisX插件 高级扩展

				
			

			

				

					Orion
				

				

					03-14
					
					1542
					
				

			

		

		

			
				
需求前置:并发问题演示乐观锁和悲观锁是在并发编程中用于处理并发访问和资源竞争的两种不同的锁机制悲观锁当A在使用时,上锁了,B尝试使用被拒绝,因为上锁了只能等A用完后,解锁了,B再次去尝试使用。乐观锁当A使用,不会上锁,B可以尝试使用,但被告知已被占用,不能用区别于悲观锁 -> 乐观锁的B会反复的尝试,直到A使用完毕这两者都是解决并发数据问题的思路,不是具体技术。

			
		

	



              


  
              

                


	

		

			

				
					
mybatis plus操作

				
			

			

				

					12-22
				

			

		

		

			
				
mybatis-plus的样例及自动构建源码,直接导入到eclipse中可以执行,

			
		

	





	

		

			

				
					
MyBatis-Plus全表更新删除插件BlockAttackInnerInterceptor 

					
最新发布

				
			

			

				

					★【World Of Moshow 郑锴】★
				

				

					03-18
					
					608
					
				

			

		

		

			
				
MyBatis-Plus全表更新删除插件BlockAttackInnerInterceptor 是 MyBatis-Plus 框架提供的一个安全插件,专门用于止恶意的全表更新删除操作。语句,确保这些操作不会无意中影响到整个数据表,从而保护数据的完整性和安全性。

			
		

	



		

			
		



	

		

			

				
					
Mybatis-Plus入门系列(6)- MybatisPlus全表更新删除插件BlockAttackInnerInterceptor

					
热门推荐

				
			

			

				

					记录知识、锤炼自我
				

				

					03-15
					
					1万+
					
				

			

		

		

			
				
前言
业务bug或者漏洞可能导致把整个表都更新或者删除,在生产环境中这是十分危险的事情,plus也考虑到了这一点,提供了全表更新删除插件
测试案例

创建全表删除更新接口,先测试发现可以删除更新表所有数据

    @GetMapping("deleteAll")
    public Object deleteAll() {
        int delete = orderTblMapper.delete(null);
        return "删除成功";
    }

    @G

			
		

	





	

		

			

				
					
mybatis-plus 全表更新删除 的拦截器添加

				
			

			

				

					weixin_46256404的博客
				

				

					07-12
					
					441
					
				

			

		

		

			
				
/乐观锁【版本号插件

			
		

	





	

		

			

				
					
MybatisPlus插件

				
			

			

				

					凉茶铺的博客
				

				

					06-14
					
					1851
					
				

			

		

		

			
				
MyBatis 允许你在已映射语句执⾏过程中的某⼀点进⾏拦截调⽤。默认情况下,MyBatis 允许使⽤插件来拦截的⽅法调⽤包括:我们看到了可以拦截Executor接⼝的部分⽅法,⽐如update,query,commit,rollback等⽅法,还有其他接⼝的⼀些⽅法等。总体概括为:1. 拦截执⾏器的⽅法2. 拦截参数的处理3. 拦截结果集的处理4. 拦截Sql语法构建的处理拦截器示例: 


注⼊到Spring容器:


或者通过xml配置,mybatis-config.xml:


在MP中提供了对SQ

			
		

	





	

		

			

				
					
mybatis入门学习(十二) -ActiveRecoder、分页查询、全表更新删除

				
			

			

				

					weixin_43520586的博客
				

				

					09-20
					
					440
					
				

			

		

		

			
				
一、ActiveRecoder
将实体类继承 Model<User> 后,可以不写Mapper 接口即可实现CRUD;
public class User extends  Model<User> {
	.
	.
	.
	.
}

执行 CRUD
ClassPathXmlApplicationContext context=new ClassPathXmlApplicationContext("applicationContext.xml");
User user=new User(

			
		

	





	

		

			

				
					
MybatisPlus动态SQL注入实现技巧

				
			

			

				

					
				

			

		

		

			
				
开发者在使用MybatisPlus时,应充分了解这些安全特性的使用方法,包括如何合理使用参数化查询、如何利用内置的注入特性,以及如何配置和使用插件来增强应用的安全性。  知识点九:MybatisPlus项目结构和主要组件 ...

			
		

	





	

		

			

				
					
MybatisPlus学习资料

				
			

			

				

					07-17
				

			

		

		

			
				
12. 内置全局拦截插件MyBatisPlus提供全表delete、update操作智能分析阻断,也可自定义拦截规则,预误操作。  MyBatisPlus的使用:  1. 快速使用MyBatisPlus MyBatisPlus提供了快速使用的特性,开发者可以快速...

			
		

	





	

		

			

				
					
Mybatis-Plus 添加插件实现禁止全表更新全表删除操作

				
			

			

				

					AKALXH的博客
				

				

					05-19
					
					3803
					
				

			

		

		

			
				
MyBatis Plus 提供了 BlockAttackInnerInterceptor (阻断攻击Sql解析器) 插件,该插件可以阻止全表更新删除操作。在一定程度上,保证了数据库数据的安全。下面将通过示例介绍怎样使用该插件

			
		

	





	

		

			

				
					
mybatis-plus实现非法sql拦截(全表更新删除

				
			

			

				

					m0_51963973的博客
				

				

					05-28
					
					4988
					
				

			

		

		

			
				
不带where子句的delete和update,在生产环境中是不允许的。因为不带where子句的delete和update将会影响全表数据。这是非常可怕的!!

			
		

	





	

		

			

				
					
mybaits-plus 阻止全表更新删除

				
			

			

				

					发型决定高度的博客
				

				

					01-15
					
					795
					
				

			

		

		

			
				
/**
 * 阻断解析器,阻止全表更新删除,加入解析链
 * @return
 */
@Bean
@Profile({"dev","test"})
public SqlExplainInterceptor sqlExplainInterceptor(){
    SqlExplainInterceptor sqlExplainInterceptor = new SqlExplainInterceptor();
    List<ISqlParser> sqlParserList = new A.

			
		

	





	

		

			

				
					
Mybatis plus性能分析插件引起的 Full table operation is prohibited.

				
			

			

				

					weixin_30576859的博客
				

				

					01-14
					
					1017
					
				

			

		

		

			
				
场景
今天在执行一个 update 语句的时候,发现一直报Full table operation is prohibited.
版本是 MySQL 5.7.17
mybatis-plus 2.3.3
排查

看到 Full table operation is prohibited 首先怀疑是否是未加 WHERE 语句 引起的全表修改,logback 日志打印sql 语句发现,并没有。...

			
		

	





	

		

			

				
					
mybatis-plus使用

				
			

			

				

					dimandsun的博客
				

				

					11-28
					
					884
					
				

			

		

		

			
				
目录简介配置注解 @TableField常用功能自动填充BaseMapperWrapperAbstractWrapperQueryWrapper自定义sql插件分页插件SQL 阻断解析器乐观锁插件Sql 注入器逻辑删除(假删除)枚举代码生成器MybatisX 快速开发插件
简介
参考:b站mybatis-plus学习视频
官方文档:https://mp.baomidou.com/
此文档描述的是m...

			
		

	





	

		

			

				
					
Error updating database. Cause: com.baomidou.mybatisplus.core.exceptions.MybatisPlusException:

				
			

			

				

					spirit_captive的博客
				

				

					12-01
					
					4897
					
				

			

		

		

			
				
但这里我很明确我错误和上面导致没有任何关系,这里我review了一下我的代码,最后找出了问题所在,原因是我修改时,用的lambdaQueryWrapper没有指定eq,具体要修改的行数。这个错误通常表示你尝试更新一个不允许更新的表。翻译是:不允许你对这张表进行修改。把具体修改的行数加上就好了。可以由于以下几个原因导致。

			
		

	





	

		

			

				
					
Mybatis自动拦截器

				
			

			

				

					weixin_62432037的博客
				

				

					08-12
					
					704
					
				

			

		

		

			
				
Mybatis自动拦截器

			
		

	





	

		

			

				
					
记录 有关MybatisPlusInterceptor里的addInnerInterceptor()方法和@Intercepts 都是怎么注入进去的

				
			

			

				

					zqx_7的博客
				

				

					09-09
					
					798
					
				

			

		

		

			
				
的addInnerInterceptor()方法添加了多个内部拦截器(实现了接口)是一个拦截器用了@Intercepts注解 的是相当于是一个拦截器, MybatisPlusInterceptor也是实现了Interceptor类的管理类而已。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值