面向sql编程的探索之路

最新推荐文章于 2025-02-11 01:33:15 发布
最新推荐文章于 2025-02-11 01:33:15 发布
阅读量1.3k 收藏
点赞数
分类专栏: 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq273681448/article/details/80998068
版权

前言

在我们JavaWeb开发过程中,或多或少会有些只是几行sql语句的service方法或是http请求,总是要反复写Controller层、service层、dao层。于是,我做了一个大胆的尝试,对于此类方法,封装出一个公共方法,不需要写java代码,写几行sql语句就能出各种接口及方法。

表设计

iddescriptionSQLcreatorcreattimeupdatetime
notices获取通知列表select * from notices where reciever ={userNo}admin2018-07-06 14:07:482018-07-06 14:07:53

我们选取

  1. id为url请求的方法名
  2. description为描述
  3. sql为具体sql语句
  4. 创建人
  5. 创建时间、修改时间

第一版

url请求

暂定
http://a.com/common/sqls/方法名

注:方法名为表中的id。

入参不限,这里controller层都会传到service层,当然啦,如果你想限制,也可以做个入参白名单列表。

Controller层:

    @RequestMapping(value = "/sql/{id}")
    public ResultObject getRules(@PathVariable(value = "id") String id) {
        ResultObject resultObject = new ResultObject();
        Map<String, Object> params=getRequestParams();
        validateParams(params, "token");
        User user = loginService.findByToken(params.get("token").toString());
        params.put("userNo",user.getUserNo());
        List<Map<String,Object>> mapList=commonService.querySql(id,params);
        resultObject.setData(mapList);
        return resultObject;
    }

controller层主要是将所有变量接收转为一个paramsMap,然后校验用户token,通过token获取用户No。当没有token或者token无法获取到用户No时,抛异常。
得到用户No,将用户No的值 put进map,最后将方法名(id)和map传入到service层。

CommonService:

    /**
     * 通过id找到具体sql语句
     * @param id
     * @return sql
     */
    public String getSqlById(String id) {
        return commonDao.getSqlById(id);
    }

    /**
     * 返回通用sql执行结果
     * @param id 
     * @param params
     * @return list
     */
    public List<Map<String, Object>> querySql(String id,Map<String, Object> params) {
        String sql=getSqlById(id);
        for (Map.Entry<String, Object> stringObjectEntry : params.entrySet()) {
            sql=sql.replace("{"+stringObjectEntry.getKey()+"}","'"+(String)stringObjectEntry.getValue()+"'");
        }
        return commonDao.querySql(sql);
    }

第一版,我们先通过遍历map里的所有参数替换通过方法id获得到的sql,然后执行。

interface:

public interface CommonDao {
    String getSqlById(String id);

    List<Map<String,Object>> querySql(String sql);
}

mapper:

mybatis版

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="*.basic.dao.CommonDao" >
    <select id="getSqlById" resultType="string">
        SELECT sql from m_sql WHERE id =#{value}
    </select>
    <select id="querySql" resultType="map">
        ${value}
    </select>
</mapper>

getRequestParams:

    public Map<String, Object> getRequestParams() {
        HttpServletRequest request = ((ServletRequestAttributes)RequestContextHolder.getRequestAttributes()).getRequest();

        try {
            request.setCharacterEncoding("UTF-8");
        } catch (UnsupportedEncodingException var5) {
            var5.printStackTrace();
        }

        Map<String, Object> params = new HashMap();
        Enumeration names = request.getParameterNames();

        while(names.hasMoreElements()) {
            String name = (String)names.nextElement();
            params.put(name, request.getParameter(name));
        }

        return params;
    }

好了到这里,我们第一版就出来了,咱先试试效果!

内部调用

java代码内部调用的时候,先实例化一个CommonService,然后调用commonService.querySql(id,params)返回即可,无论是普通调用,还是再次封装暴露rpc接口都没有问题。

新增请求

当我们想新增一个,获取用户好友的接口,我们只需在数据库里增加一条

iddescriptionSQLcreatorcreattimeupdatetime
friends获取好友列表select * from freindss where userNo ={userNo}admin2018-07-06 14:07:482018-07-06 14:07:53

调用

http://localhost:8080/*/common/sql/friends?token=cc4771aebb444d6c928a61ba5fe1153e

出参:

{“data”:[{“id”:”1”,”name”:”张三”}] ,”code”:200,”message”:”success”}

这样一个获取friends的接口就好了,当然啦,实际需求sql可能很复杂,但这个不会影响我们项目执行。

第二版

虽然说第一版ok了,但是显然有个致命bug,那就是会被注入,所以,这个版本我们要解决注入问题。

思路一

过滤入参:

 public List<Map<String, Object>> querySql(String id,Map<String, Object> params) {
        String sql=getSqlById(id);
        if (params.entrySet().size()>5) {
            throw new CommonException("参数太多了,请删除一些");
        }
        for (Map.Entry<String, Object> stringObjectEntry : params.entrySet()) {
            if (checksql((String)stringObjectEntry.getValue())) {
                throw new CommonException("不安全的请求!");
            }
            sql=sql.replace("{"+stringObjectEntry.getKey()+"}","'"+(String)stringObjectEntry.getValue()+"'");
        }

        if (checksqlSecond(sql)) {
            throw new CommonException("sql参数不合法!不能包含update、delete等");
        }
        return commonDao.querySql(sql);
    }
    private boolean checksql(String sql) {
        if (sql.length()>50) {
            return true;
        }
        if (!sql.equals(transactSQLInjection(sql))) {
            return true;
        }
        if (sqlValidate(sql)) {
            return true;
        }
        return false;
    }

    private boolean checksqlSecond(String sql) {
        String temp_sql=sql.toLowerCase();
        if (temp_sql.contains("delete")||temp_sql.contains("update")||temp_sql.contains("truncate")||temp_sql.contains("drop")) {
            return true;
        }
        return false;
    }
    private  String transactSQLInjection(String str)
    {
        return str.replaceAll(".*([';]+|(--)+).*", " ");
    }
    private static boolean sqlValidate(String str) {
        str = str.toLowerCase();
        String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|*|%|chr|mid|master|truncate|" +
                "char|declare|sitename|net user|xp_cmdshell|;|or|-|+|,|like'|and|exec|execute|insert|create|drop|" +
                "table|from|grant|use|group_concat|column_name|" +
                "information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|*|" +
                "chr|mid|master|truncate|char|declare|or|;|-|--|+|,|like|//|/|%|#";//过滤掉的sql关键字,可以手动添加
        String[] badStrs = badStr.split("\\|");
        for (int i = 0; i < badStrs.length; i++) {
            if (str.indexOf(badStrs[i]) >= 0) {
                return true;
            }
        }
        return false;
    }

我们使用正则去过滤敏感字符,为了防止入参过多影响我们正则匹配,所有限定5个入参,限定每个参数值不超过50。

这样一做马上就遭来各种辱骂,好水的代码,为什么不用预编译?那我们接下来继续探索

思路二

预编译参数:

String patt = "\\{.+?}";
String querySql=sql.replaceAll(patt,"?");
Pattern r = Pattern.compile(patt);
Matcher m = r.matcher(sql);
List<String> list= new ArrayList<String>();
while(m.find()){
    list.add(m.group());
}
try {
    PreparedStatement preparedStatement = conn.prepareStatement(querySql);
    for (int i = 0; i < list.size(); i++) {
        preparedStatement.setString(i+1,params.get(list.get(i).substring(1,list.get(i).length()-1));  
    }
    preparedStatement.executeUpdate(sql_update);
}catch(Exception e){
    //e.printStackTrace();
    logger.error(e.message());
}

先通过正则替换将

select * from notices where reciever={userNo} and isRead={isRead}

替换为

select * from notices where reciever=? and isRead=?

再将{userNo}、{isRead}加入list,最后遍历list,将list的元素userNoisRead值传入preparedStatement

思路二的方案可完美解决sql注入问题,当然还有其它方案,比如利用mybatis的sql构造器;利用其它sql预编译框架等。

第三版:

这下我们的安全问题也解决了,我们来追加一些公共方法,比如出参map中包含用户id,不包含用户姓名,而我们需要显示用户姓名。如果使用sql关联的话,各种关联使得sql越来越复杂。这里,我们封装一些公共方法,比如用户id转name、群组id转groupname。

表改造

增加 入参方法、出参方法 两个字段

iddescriptionSQLinmethodoutmethodcreator
notices获取通知列表select * from notices where reciever =#{userNo}usertoken2iduserid2name,groupid2nameadmin

这里我们支持逗号隔开方法,入参识别方法并追加到params里,代码如下:

        String[] inMethodsplit = inMethod.split(",");
        for (String s : inMethodsplit) {
            switch (s){
                case "usertoken2id":
                    params.add("userName",usertoken2id(params.get("userid")));
                    break;
                case "xxxx":
                    params.add("xx",xxmethod(params.get("userxx")));
                    break;
            }
        }

switch内可以维护自己公司的内部公用方法,来减少sql书写量。

至于出参,我想大家都懂了,这里就不做介绍。

总结

至此,面向sql编程的一个框架就写好了,写一段sql、写几个公共方法(可选),即可完成一个http接口 或者 普通java方法,是不是很便捷,有没有要试一下的冲动。

本文是一种开发上的新尝试,也是一种面向sql编程的探索。(其实,我不知道能不能称它是面向sql编程,这里索性大胆这样称呼。)如果您有什么新的想法和思路,欢迎留言。

记得关注我哦!

掘金专栏
https://juejin.im/user/57cd55218ac247006459c40c/posts

MySQL技术内幕:SQL编程
魏小言的博客
12-06 818
简述 本文记录一些关于sql语言的最根本的基础,堪称灵魂内幕。 适用人群: 适合对sql熟练使用的rd或者dba学习,功力深厚的大牛可以略读。 方式 将以小Tip、小问题的形式抛出知识点,进一步扩展。 Q&A sql是一种语言?还是工具?和java、c++啥区别? java是面向对象,php面向过程/对象,c++/c面向过程,sql呢? sql引擎是啥?为啥经常被忽略? sql语句执行的...
初步探索SQL Server 2025 AI相关能力
最新发布
Z__7Gk的博客
03-10 1057
DiskANN基于微软2019年发表的论文《DiskANN: Fast Accurate Billion-point Nearest Neighbor Search on a Single Node》。在此之前,向量搜索领域中一个流行的主要算法是HNSW(分层可导航小世界图),这是一种利用多层图结构进行搜索的算法。HNSW的核心特点是涉及大量的随机内存访问,因此该算法需要消耗大量内存资源,要求原始向量和图数据都必须常驻内存中。图.HNSW图查找示例。
SQL语言的数据库编程
2501_90571174的博客
02-11 1747
SQL,结构化查询语言,是一种专门用于数据库管理的编程语言。它用于访问、操作、管理和控制关系型数据库中的数据。SQL不仅能进行数据查询,还支持数据的插入、更新和删除等多种操作。它的标准化使得不同数据库之间的互操作性得到了有效保障。DDL用于定义和管理数据库的结构。CREATE:创建新的数据库对象,如数据库、表等。ALTER:修改已有的数据库对象。DROP:删除数据库对象。例如,创建一个名为employeessqlage INT,SQL作为一门强大的数据库编程语言,广泛应用于各个行业中。
面向sql编程
weixin_33850015的博客
07-09 206
2019独角兽企业重金招聘Python工程师标准>>> ...
sql优化之面向集合编程
u012485099的博客
04-28 1423
最近重新翻阅oracle资料,有提到在编写sql时需要面向集合思考,这是每一个SQL高手必备技巧。面向集合思考是相对面向过程而言,意在寻找整个结果集的特征,而不是只专注实现逻辑过程,从而写出高效、简洁的代码。先上两个课本上例子,供大家参考(伪代码)任职工龄筛选有一张员工表,记录了员工在各个职位的任职时间,求出在各个岗位任职时间相同的职工staff 表结构 staff_id,job_id,start...
SQL编程开发
大数据技术开发
04-16 1387
SQL(Structured Query Language,结构化查询语言)是使用关系模型的数据库应用语言, 与数据直接打交道,由 IBM 上世纪70年代开发出来。后由美国国家标准局(ANSI)开始着手制定SQL标准,先后有 SQL-86 , SQL-89 , SQL-92 , SQL-99 等标准。
Oracle面向对象编程探索
04-23
Oracle 面向对象编程探索 Oracle 面向对象编程技术实现,让开发者像使用 C#、C++、Java 一样理解 Oracle。Oracle 面向对象编程探索这个题目完全可以按一本书来写,但本文只能简单地探讨 Oracle 面向对象技术的...
基于Java面向对象的SQL拼接与链式调用设计源码
10-04
在软件开发领域,Java作为一门历史悠久的编程语言,一直以来都是企业级应用开发的首选语言之一。其面向对象的特性不仅为开发者提供了丰富的抽象机制,也为大型复杂系统的构建提供了便利。然而,在涉及到数据库操作时...
Oracle SQL编程完美攻略
10-27
### Oracle SQL编程完美攻略 #### 第一部分:SQL语言基础 ##### 第一章:关系型与非关系型数据库 **1.1 关系型数据库由来** 关系型数据库的基础理论最早可以追溯到1970年,当时IBM的研究员E.F. Codd博士首次提出...
python基础 1.面向对象 2.QT界面 3.python与sql的连接
02-05
面向对象编程是Python的核心概念之一。它基于类(Class)和对象(Object)的概念,使得代码可重用性和模块化更高。在Python中,你可以定义一个类来创建对象,类包含属性(Attributes)和方法(Methods)。继承...
数据库编程面向对象版
05-11
数据库编程 面向对象版2018,学生考务管理系统 某学院需要一个简易选课系统,学生可以选修多门课程;每门课程可以有多个学生选修,并限定选课人数上限。 系统功能如下: 需具有选课、登记成绩等基本功能;  每学期末学院可查看各学生平均成绩、各课程平均成绩、不及格学生名单及门数  能自动统计某门课程的考试人数、最高分、最低分、平均分、100-90分段百分比、90-80分段百分比、80-70分段百分比、70-60分段百分比、60-0分段百分比  能自动统计某学生每学期平均成绩的变化曲线  对成绩修改进行严格管理,每次调高成绩都应有记录
sql 关联使用id还是code_面向sql编程探索之路
weixin_39550940的博客
12-09 876
作者:邵磊来源:https://juejin.im/post/5b31b12ae51d4558957ddb7f前言在我们JavaWeb开发过程中,或多或少会有些只是几行sql语句的service方法或是http请求,总是要反复写Controller层、service层、dao层。于是,我做了一个大胆的尝试,对于此类方法,封装出一个公共方法,不需要写java代码,写几行sql语句就能出各种接口及方法...
读《MySQL技术内幕——SQL编程》笔记(1)
记录点滴成长......
09-30 445
只有学习最纯粹! 然而与其他语言不用的是,SQL语言不仅是面向过程的语言,更多的时候,通过SQL语言提供的面向集合的思想可以解决数据库中遇到的很多问题。当然SQL语言本身也提供了面向过程的方法,但是如果使用不当,会在数据库性能方面遭遇梦魇。SQL编程需要掌握的知识远比想象中多,只有掌握各种知识,综合运用面向过程和面向集合的思想,才能真正解决所遇到的问题。不要迷信网上的任何“神话”,不要被自己或他
SQL基础编程
h15136020513的博客
05-14 6444
一.SQL的环境搭载 单机与在线 二.SQL的单表操作 1.sql基础三步 2.sql四则运算 3.limit (限制查询结果个数) 4.order by(排序) 5.where 综合条件筛选 6.SQL常量 7.distinct (把结果中重复的行删除) 8.函数 三.SQL的多表操作 1.嵌套子循环 2.JOIN——连接多个数据库(或多表) 3.null与内连接与外连接
SQL语言(数据库编程)
ZangLing的博客
03-09 2953
一.select查询 二.函数 三.多表查询 四.自链接 五.外连接 六.组函数 七.嵌套组函数 八.子查询 九.DML语言 十.主键 十一.外键 十二.事务 十三.视图 十四.索引
领域驱动设计vs面向数据库编程
carson0408的博客
05-16 827
对于现在的大多数场景下,面向数据库编程对于实现功能来说是十分方便的,门槛比较低。主要三把斧,建表,orm框架生成dao方法,然后service层对dao进行复杂操作。最后可以封装接口提供给下游服务使用。但是对于一个复杂的场景来说,对于每张表进行各自的增删改查,这样的模型是松散的。 注意点: 1.一对多和一对一都需要在被维护端的实例中建立与维护端的相互关系 2.注意@Id注释不要引错包,org.springframework.data.annotation.Id;会带来实体...
面向数据编程 Data-Oriented Programming [1]
unity尧明的博客
06-17 6036
面向数据的编程原则 0.1 简介
T-SQL基础(SQL高级编程语言)(二)
恒二哥的博客
02-14 2482
注意:由于inserted表和deleted表都是临时表,它们在触发器执行时被创建,触发器执行完后就消失了,所以只可以在本触发器的语句中使用SELECT语句查询这两个表。与after触发器不同的是,instead of 触发器触发时只执行触发器内部的SQL语句,而不执行激活该触发器的SQL语句。返回紧邻当前行前面的结果行,并且当前行递减为返回行。说明:参数和返回值的数据类型可以是任何有效的SQL标量数据类型,不能是用户自定义的数据类型、timestamp或cursor游标。是用于不可更新的视图,支持更新。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值