关于拼接SQL语句sqlMap的使用方法

最新推荐文章于 2025-05-14 13:50:09 发布
最新推荐文章于 2025-05-14 13:50:09 发布
阅读量1.4k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Java模块
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/swebin/article/details/91953905
本文详细介绍了一种在MyBatis框架中实现动态SQL的方法,通过在Java实体类中使用自定义SQL映射,结合XML配置文件中的动态SQL元素,实现了灵活的数据查询。特别关注了数据权限过滤条件的动态生成,确保了系统的安全性与灵活性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.为什么使用?

  主要还是为了代码中获取到值,然后带入SQL语句中拼接查询

2.怎么使用?

1)bean继承了BaseEntity类,该类中有

复制代码

    /**
     * 自定义SQL(SQL标识,SQL内容)
     */
    protected Map<String, String> sqlMap;
    @JsonIgnore
    @XmlTransient
    public Map<String, String> getSqlMap() {
        if (sqlMap == null){
            sqlMap = Maps.newHashMap();
        }
        return sqlMap;
    }
     public void setSqlMap(Map<String, String> sqlMap) {
        this.sqlMap = sqlMap;
    }

复制代码

2)XML中如何写?

复制代码

<select id="findList" resultType="ZlfbBean">
        SELECT * FROM (
            SELECT    <include refid="ZlfbBeanColumns"/>
            FROM ZL_HCZZ i <include refid="ZlfbBeanJoins"/>
            <where>
            AND i.del_flag = #{DEL_FLAG_NORMAL} 
            ${sqlMap.dsf} //此处加入service中的限制条件
            <if test="zlbh != null and zlbh != ''">
                AND i.ZLBH = #{zlbh}
            </if>
            <if test="createBy != null and createBy.id != null and createBy.id != ''">
                AND i.CREATE_BY = #{createBy.id}
            </if>
            <if test="office != null and office.id != null and office.id != ''">
                AND i.OFFICE_ID = #{office.id}
            </if>
            </where>
            ORDER BY i.CREATE_DATE DESC,i.UPDATE_DATE DESC
        ) t
        <where>
            AND t.del_flag = #{DEL_FLAG_NORMAL} 
            <if test="beginInDate != null and beginInDate != ''">
                AND t.CREATE_DATE <![CDATA[ >= #{beginInDate} ]]>
            </if>
            <if test="endInDate != null and endInDate != ''">
                AND t.CREATE_DATE <![CDATA[ <= #{endInDate} ]]>
            </if>
        </where>
    </select>

复制代码

3)service中:

复制代码

public Page<ZlfbBean> findzlfb(Page<ZlfbBean> page,ZlfbBean bean){
        // 生成数据权限过滤条件(dsf为dataScopeFilter的简写,在xml中使用 ${sqlMap.dsf}调用权限SQL)
        User user = UserUtils.getUser();
        String dsf = dataScopeFilter( user, "l", "k");//返回的是如AND (k.id='user.getId()')
        if((bean.getCreateBy()==null || bean.getCreateBy().getId().equals("")) && (bean.getOffice()==null || bean.getOffice().getId().equals(""))){
            dsf = dsf+" OR i.zlbh IN( "
                +" SELECT  DISTINCT t1.zlbh FROM ZL_HCZZ t1 join ZL_HCZZSP t2 on t1.zlbh=t2.zlbh where t2.CREATE_BY = "+user.getId()
                +" ) "
                +" OR i.zlbh IN( " 
                +" SELECT  DISTINCT t1.zlbh FROM ZL_HCZZ t1 join ZL_HCZZQS t2 on t1.zlbh=t2.zlbh where t2.CREATE_BY = "+user.getId()+" OR ((SELECT COUNT(1) FROM SYS_USER WHERE id="+user.getId()+" and qsqx='01' and office_id='"+user.getOffice().getId()+"') > 0 ) AND t2.QS_DW = '"+user.getOffice().getId()+"' "
                +" ) "
                +" OR i.zlbh IN( "
                +" SELECT  DISTINCT t1.zlbh FROM ZL_HCZZ t1 join ZL_HCZZFK t2 on t1.zlbh=t2.zlbh where t2.CREATE_BY = "+user.getId()
                +" ) ";
        }
        bean.getSqlMap().put("dsf", dsf);给sqlmap集合中添加值,即添加一个dsf字符串的值为dsf
        // 设置分页参数
        bean.setPage(page);
        // 执行分页查询
        page.setList(zlfbDao.findList(bean));
        return page;
    }

复制代码

 

分类: java

sqlmap使用技巧(1)
Swee
05-22 455
sqlmap基础设置 1、直连数据库 -d sqlmap.py -d "mysql://账户:密码 @127.0.0.1/数据库名 -f --banner --dbs --users 2、直接对单一url进行探测 -u sqlmap.py -u “http://www.hahaha.com/111.php?=1” --banner --users 3、批量扫描注入 -g sqlmap.py -g “inurl:.php?id=1” 4、强制指定请求方法 –method 例如put方法一般不
SQL 注入之 sqlmap 实战
2301_77160226的博客
08-29 1770
sqlmap 是一款自动化的 SQL 注入工具,它可以检测、利用和接管数据库服务器。它支持多种数据库管理系统,包括 MySQL、Oracle、PostgreSQL、Microsoft SQL Server 等。自动化检测:能够自动检测目标网站是否存在 SQL 注入漏洞。多种攻击方式:支持基于错误、布尔盲注、时间盲注等多种 SQL 注入攻击方式。数据库枚举:可以枚举数据库的名称、表名、列名和数据。权限提升:尝试提升数据库用户的权限,以获取更高的访问权限。
MySQL动态拼接SQL
最新发布
LoveYouQueena的博客
05-14 437
注意,为了避免SQL注入的风险,你可能需要确保表名是安全的。如果你需要动态地从数据库中获取表名,并基于此表名执行查询,你可以查询INFORMATION_SCHEMA.TABLES视图来获取表名,然后构建你的SQL语句。通常,预处理语句(第2种方法)是推荐的方式,因为它可以有效地防止SQL注入并提高性能。在MySQL中,如果你想通过表名来动态构建SQL语句,可以使用几种不同的方法来实现。你可以使用CONCAT函数来拼接字符串,包括表名。然后你可以基于这个查询结果动态构建你的SQL语句
sql拼接
weixin_34235135的博客
09-30 359
2019独角兽企业重金招聘Python工程师标准>>> ...
SQLMAP命令详解
anan2175的博客
04-25 1280
Options --version:显示当前sqlmap的版本号 -h:显示帮助信息 -hh:显示详细的帮助信息 -v VERBOSE:详细级别,VERBOSE为数字,默认为1 Target -d DIRECT:直接连接到数据库 -u URL或--url=URL:目标地址(URL) -l LOGFILE:从Burp或WebScarab代理的日志中解析目标 -x SITEMAPURL:从一...
网络安全-sql注入-sqlmap
09-02
这些漏洞允许攻击者在字符串拼接时插入额外的SQL语句。比如,一个典型的SQL注入漏洞可能出现在一个简单的登录验证场景中,如果用户名和密码验证的SQL语句没有正确地对用户输入进行处理,攻击者就可以通过输入特定的...
SQL注入SQLmap简单用法,和SQL注入写入一句话木马
m0_56214376的博客
03-16 9564
SQL注入 Boolean注入攻击-布尔盲注 1' and length(database())>1 -- qwe 1’ and length(database())>10 # mysql数据库中的字符串函数 substr()函数和hibernate的substr()参数都一样,但含义有所不同。 用法: substr(string string,num start,num length); string为字符串; start为起始位置; length为长度。 1’ and ascii(s
SqlServer:使用IN()子句C#进行参数化查询
04-07
参数化查询是防止SQL注入攻击的有效方法,因为它将用户输入的数据与查询结构分离,避免了直接拼接字符串生成SQL语句。 在C#中,我们可以使用ADO.NET库来实现这个功能。ADO.NET提供了SqlConnection、SqlCommand、Sql...
pythonSQL注入仿写SQLMAP脚本.rar
09-26
SQL注入是一种常见的网络安全漏洞,攻击者通过构造特殊的SQL语句来操控数据库,获取敏感信息或执行非法操作。在本项目中,我们将探讨如何使用Python来检测和利用这种漏洞。 首先,我们要理解SQL注入的基本原理。当...
详解强大的SQL注入工具——SQLMAP
05-09
这是一个审计数据库安全的SQL注入工具的使用指南, 该工具在windows平台与linux平台下均可以使用。数据库管理员(DBA)可用它来检 验自己的数据库是否存在安全配置方面的漏洞。
Hive Sql(二)
qq_52360873的博客
08-08 1491
HQL 与 SQL的区别 查询语言 HQL SQL 数据存储位置 HDFS 块设备或者本地文件 数据格式 用户定义 系统决定 数据更新 不支持 支持 索引 无 有 执行 mapredurce executor 执行延迟 高 低 可扩展性 高 低 数据规模 大 小 分区 如果该表是个分区表,那么需要在where加上分区的限制 如,该表的分区是 date,那么..
【JeeSite】用户管理
weixin_30432579的博客
04-21 510
组织机构使用ztree插件,加载数据时使用数据权限过滤(只能访问登录用户的单位及其下属单位), 点击部门加载相应用户。 <!-- 数据范围过滤 --> BaseService.dataScopeFilter(user, "a", ""), ${sqlMap.dsf} 比如使用jn_jsb登录,生成的sqlMap.dsf 是 AND (a.id = '7' OR...
【数据库】HIVE SQL中MAP、String、Struct类型数据解析
热门推荐
J小白的博客
09-13 2万+
1:MAP类型 表中数据类型为:map&lt;string,string&gt; 表中数据样式为: 要解析出city:select env['city'] from table 2:String类型 表中数据样式为: 要解析出env_provinve、env_province 或者:fifterlist需要先处理一下才可以取出 第一步: 第二步: 3:St...
ibatis(sqlmap)中使用in语句方法
一个平凡的程序猿
01-14 2万+
对于快速学习ibatis而没有过多时间去查阅资料的朋友,比如我,可能有些东西不一定能在快速上手的文档中涉猎到。今天就碰到一个问题,要在分页查询的同时进行where语句删选操作。由于表记录比较少,因此采用了in语句,但是in语句所设计的字段是number型的,因此在拼凑出in后面括
SQLMap使用|命令大全(干货)
qq_45719090的博客
02-27 2万+
适合新手的sqlmap使用教程,附带sqlmap命令
用map实现sql拼接
lihuihao2的博客
08-28 2585
今天在写二维报表(某列的内容随着帐号不同会变化)的时候想到了sql拼接。 首先你需要在你的实体类中定义一个map集合,看jeesit的源码它是把这个属性定义在基类中,一个意思,然后通过这个类的属性去获取就行了,下面的代码有些麻烦,通过上面这句话你可以写出你想要的拼接。 大概是这样定义的(BaseEntity<T>可以代表你继承的任何实例) public abstract cla...
【转】sqlmap用户手册
weixin_33851177的博客
06-18 1319
http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 当给sqlmap这么一个url的时候,它会: 1、判断可注入的参数2、判断可以用那种SQL注入技术来注入3、识别出哪种数据库4、根据用户选择,读取哪些数据 sqlmap支持五种不同的注入模式: 1、基于布尔的盲注,即可以根据返回页面判断条件真假的注入。2、基于时间的盲注,即不能根据页...
sqlmap:高效SQL注入工具的使用介绍
当用户输入的数据直接拼接SQL语句而未进行适当的处理时,就可能产生注入漏洞。攻击者可以利用这些漏洞进行各种恶意操作。比如: - 篡改数据 - 数据窃取 - 利用数据库服务器运行任意命令 - 探测数据库结构信息 4. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值