005-spring boot 2.0.4-jdbc升级

Spring Boot 2 与 HikariCP
最新推荐文章于 2022-06-06 23:30:34 发布
最新推荐文章于 2022-06-06 23:30:34 发布
阅读量65 收藏
点赞数
文章标签: 数据库 json java
本文介绍Spring Boot 2 默认采用HikariCP作为数据库连接池的原因,包括其性能优势、稳定性及可靠性,并提供了配置示例。

一、概述

  Springboot2默认数据库连接池选择了HikariCP为何选择HikariCP理由一、代码量理由二、口碑理由三、速度理由四、稳定性理由五、可靠性HikariCP为什么这么快优化并精简字节码更好的并发集合类实现使用FastList替代ArrayListHikariCP

二、Spring Boot 2默认数据库连接池选择了HikariCP

默认的数据库连接池由Tomcat换成HikariCP. 如果在一个Tomcat应用中用spring.datasource.type来强制使用Hikari连接池, 则可以去掉这个override.

三、为何选择HikariCP

  HiKariCP是数据库连接池的一个后起之秀,号称性能最好,可以完美地PK掉其他连接池,是一个高性能的JDBC连接池,基于BoneCP做了不少的改进和优化。其作者还有另外一个开源作品——高性能的JSON解析器HikariJSON

  更多性能对比参看

  hikariCP可以提供监控功能的,比如metrics,可以参见笔者的这篇文章 【追光者系列】HikariCP连接池监控指标实战
  另外,监控方面,skywalking、pinpoint、mycat这些agent也是可以做到的,以后service mesh普及了更加可以监控了,比如sharding-jdbc也可以做监控,datamesh,sidecar也可以做监控的。

配置

# Hikari will use the above plus the following to setup connection pooling
spring.datasource.type=com.zaxxer.hikari.HikariDataSource
spring.datasource.hikari.minimum-idle=5
spring.datasource.hikari.maximum-pool-size=15
spring.datasource.hikari.auto-commit=true
spring.datasource.hikari.idle-timeout=30000
spring.datasource.hikari.pool-name=DatebookHikariCP
spring.datasource.hikari.max-lifetime=1800000
spring.datasource.hikari.connection-timeout=30000
spring.datasource.hikari.connection-test-query=SELECT 1

 

 

 

你了解spring-boot-starter-parent这个干嘛用的吗?
不怕万人阻挡,只怕自己投降
05-03 2万+
我们在SpringBoot 项目里面会引入spring-boot-starter-parent, 那为什么要引入 spring-boot-starter-parent?
springboot 引入jdbc驱动_SpringBoot 增强库 yue-library 2.1.0发布,提供更多特性支持
weixin_31002509的博客
01-03 347
yue-libraryyue-library是一个基于SpringBoot封装的基础库内置丰富的JDK工具自动装配了一系列的基础Bean与环境配置项快速构建SpringCloud项目,让微服务变得更简单收藏一波以表支持吧(≧▽≦)/!本次发布是一次历时9个月的大版本发布,虽然yue-library一直在不断的更新,但这次大版本的发布意味着yue-library看到了更远也能走得更远,为后续多租户、...
【追光者系列】HikariCP连接池监控指标实战
芋道源码
04-03 1万+
1.这是一个系列,有兴趣的朋友可以持续关注2.如果你有HikariCP使用上的问题,可以给我留言,我们一起沟通讨论3.希望大家可以提供我一些案例,我也希望可以支持你们做一些调优业务方关注哪些数据库指标?首先分享一下自己之前的一段笔记(找不到引用出处了)系统中多少个线程在进行与数据库有关的工作?其中,而多少个线程正在执行 SQL 语句?这可以让我们评估数据库是不是系统瓶颈。多少个线程在等待获取数据库
SpringBoot】实现自定义 spring-boot-starter
sun_tantan的博客
06-06 1562
Spring Boot 的依赖管理、实现一个自定义的 spring-boot-starter
springboot版本升级2.0.*升级到最新版本2.4.6
热门推荐
yjh44780791的博客
07-15 61万+
springboot版本升级2.0.*升级到最新版本2.4.6前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 文章目录前言一、
springboot系类代码:spring-boot-starter-jdbc-Transaction
BLOG域名:programb.blog.youkuaiyun.com
05-22 812
Transaction 事务管理方式 在Spring中,事务有两种实现方式,分别是编程式事务管理和声明式事务管理两种方式。 编程式事务管理: 编程式事务管理使用TransactionTemplate或者直接使用底层的PlatformTransactionManager。对于编程式事务管理,spring推荐使用TransactionTemplate。 声明式事务管理: 建立在AOP之上的。其本质是对方法前后进行拦截,然后在目标方法开始之前创建或者加入一个事务,在执行完目标方法之后根据执行情况提交或者回滚事务.
Spring Boot 中集成 MyBatis Plus 的一个常见做法是通过依赖 `mybatis-plus-spring-boot3-starter`
BLOG域名:programb.blog.youkuaiyun.com
05-21 2172
注意,MyBatis Plus 是基于 MyBatis 的扩展,因此大部分配置可以直接应用到 MyBatis Plus 上,但可能有一些额外的特定于插件的属性或方法需要了解。这个接口的主要作用是在执行SQL查询时,提供对结果集进行分页和统计信息(如总记录数)的支持。实例从服务端传递到客户端,可能需要额外的配置或者手动转换成可以序列化的数据结构,比如普通的Java对象或JSON对象,才能成功地传输和解析。接口是为了方便分页查询而设计的,它扩展自Spring Data JPA的。MyBatis-Plus中的。
“mybatis-spring-boot-starter-mysql-connector-java“ 是一个用于在 Spring Boot 项目中集成 MyBatis 和 MySQL 数据库的 sta
BLOG域名:programb.blog.youkuaiyun.com
06-22 574
mybatis-spring-boot-starter-mysql-connector-java” 是一个用于在 Spring Boot 项目中集成 MyBatis 和 MySQL 数据库的 starter。总之,“mybatis-spring-boot-starter-mysql-connector-java” 提供了一种简便的方式来在 Spring Boot 项目中使用 MyBatis 和 MySQL 数据库,极大地提高了开发效率。接下来,就可以在项目中使用 MyBatis 进行数据库操作了。
spring-security-samples-contacts-2.0.4
07-04
在这个"spring-security-samples-contacts-2.0.4"示例中,我们聚焦于如何将Spring Security集成到一个联系人管理应用中,并针对MySQL数据库进行了适配。这个示例项目将帮助开发者了解如何在实际应用中配置和使用...
HikariCP性能最好的连接池,sql执行监控
mayi92的博客
03-06 1万+
https://github.com/brettwooldridge/HikariCP 增加sql执行的监控 com.mysql.jdbc.Driver替换为下面的驱动 com.p6spy.engine.spy.P6SpyDriver 性能最好的连接池 连接 https://media.readthedocs.org/pdf/p6spy/latest/p6spy.pdf http:/...
【追光者系列】Hikari连接池大小多大合适?(第一弹)
weixin_33920401的博客
04-16 2103
摘要: 原创出处微信公众号 「工匠小猪猪的技术世界」欢迎转载,保留摘要,谢谢! 1.这是一个系列,有兴趣的朋友可以持续关注 2.如果你有HikariCP使用上的问题,可以给我留言,我们一起沟通讨论 3.希望大家可以提供我一些案例,我也希望可以支持你们做一些调优 首先声明一下观点:How big should HikariCP be? Not how big but rather how sm...
SpringBoot+Sharding-JDBC分库分表实战
12-19
<p><img src="https://10.idqqimg.com/qqke_course_info/ajNVdqHZLLDicQjFHRT60aN5OCgE4Jo181twdpHVox5TYTFUFibIiaIkk6PlwqgwD9icRAictlbLkOQw/" alt="" /></p>
springboot+jdbc+多数据源
qq_38730338的博客
06-21 2485
springboot+jdbc+多数据源 碰到的坑 用默认配置 配置mysql数据源,数据库连接池空闲连接超过5分钟自动断开。搞了蛮久没搞好,直接换了一个数据源德鲁伊durid,并且配置好检测校验 主数据源 : 采用默认hikari 第二数据源 :采用durid 依赖 <?xml version="1.0" encoding="UTF-8"?> <projec...
springBoot Jdbc基础实现
weixin_39639119的博客
07-21 1151
数据源(DataSource) 数据源是数据库连接的来源,通过DataSource接口获取 类型: 通用型数据源(javax.sql.DataSource) 主要使用场景:通用型数据库,本地事务,一般通过socket方式连接 分布式数据源(javax.sql.XADataSource) 主要使用场景:通用习惯数据库,分布式事务,一般通过socket方式连接 嵌入式数据源(org.sp...
通过Spring Boot使用MySQL JDBC驱动程序
最佳 Java 编程
06-05 5156
在本文中,我将向您展示如何将MySQL数据库Spring Boot应用程序连接。 本文使用的工具包括: Spring Boot 1.5.6版本 MySQL 5.7.X 马文 Java 8 Spring Data JPA 1 –项目结构 项目结构是典型的Maven结构。 2 –项目依赖性 请注意,父母需要申报。 如果您使用的是Spring Tool ...
Spring JDBC配置与使用
weixin_44117272的博客
07-05 4万+
学习目标 1.Spring JDBC模块有什么作用? 1.1JdbcTemplate的解析 1.2Spring Jdbc的配置 1.3Spring JdbcTemplate的常用方法 1.3.1创建数据库,并导入jar包 1.3.2创建配置文件 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://ww...
springboot2.0.4搭建ssm开发环境,driud连接池
Lee_Suoer的博客
08-28 1314
基于springboot2.0.4搭建的ssm框架,使用的druid连接池   springboot文档中说明: pom文件添加一些其他依赖: &lt;!--spring mvc--&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;ar...
spring项目如何升级mysql包_SpringBoot项目版本升级:从1.5.3升级2.1.8版本
weixin_42120283的博客
01-30 3047
SpringBoot项目版本升级:从1.5.3升级2.1.8版本前言简单记录一次本人在自己的SpringBoot项目project-template中,把1.5.3版本升级2.1.8版本时升级的步骤,及遇到的问题。提升parent版本号更改pom文件中parent的版本号org.springframework.bootspring-boot-starter-parent2.1.8.RELEAS...
mybatis-spring-boot-starter 2.1.3 漏洞
最新发布
08-19
<think>我们正在查找关于mybatis-spring-boot-starter 2.1.3版本的安全漏洞信息。根据之前的讨论,我们知道MyBatis-Spring-Boot-Starter是一个集成模块,它本身并不直接包含MyBatis的核心功能,而是依赖于MyBatis和MyBatis-Spring等组件。因此,它的安全漏洞主要来自于它所依赖的组件的版本。 首先,我们需要确定mybatis-spring-boot-starter 2.1.3所依赖的MyBatis核心版本。根据官方文档和Maven仓库信息,我们可以推断: - mybatis-spring-boot-starter 2.1.x 通常依赖于 MyBatis 3.5.x 和 MyBatis-Spring 2.0.x。 具体来说,mybatis-spring-boot-starter 2.1.3的依赖关系通常如下(以Maven为例): ```xml <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.1.3</version> </dependency> ``` 这个starter会传递依赖: - MyBatis核心:通常是3.5.3到3.5.6之间的某个版本(例如3.5.4- MyBatis-Spring:通常是2.0.3到2.0.6之间的某个版本(例如2.0.4) 而我们知道,MyBatis核心在3.5.6及之前版本存在一个高危漏洞:CVE-2020-26945(OGNL表达式注入导致远程代码执行)。因此,如果mybatis-spring-boot-starter 2.1.3传递依赖了MyBatis 3.5.6或更早版本,那么使用该starter的项目就会受到这个漏洞的影响。 另外,根据引用[1]中提到,Spring Boot 2.2.1版本中集成的依赖已经更新了安全相关的依赖以修复已知漏洞。但是,我们这里查询的是starter 2.1.3,它可能没有包含这些更新。 因此,我们可以得出结论: **mybatis-spring-boot-starter 2.1.3 本身没有独立的安全漏洞,但它所依赖的MyBatis核心版本(通常是3.5.6以下)存在CVE-2020-26945漏洞。** 此外,我们还需要注意其他可能的安全问题,比如SQL注入,但这通常与代码编写方式有关(如使用`${}`而不是`#{}`),而不是starter本身的漏洞。 ### 修复建议 1. **升级MyBatis核心版本**:将MyBatis核心升级到3.5.7或更高版本(目前最新为3.5.16)以修复CVE-2020-26945。 在Maven中,可以通过显式指定MyBatis版本来覆盖starter传递的版本: ```xml <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.1.3</version> </dependency> <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis</artifactId> <version>3.5.16</version> </dependency> ``` 2. **升级mybatis-spring-boot-starter版本**:如果可能,建议升级到最新版本的starter(目前为3.0.3),因为它会依赖安全版本的MyBatis核心。但需要注意,新版本的starter可能需要更高版本的Spring Boot(如3.0.x要求Spring Boot 3.x,2.3.x要求Spring Boot 2.7.x)。如果项目使用的是Spring Boot 2.2.x,可以选择mybatis-spring-boot-starter 2.2.2(该版本依赖MyBatis 3.5.7+)。 ### 如何验证当前项目是否受影响 1. 查看项目的依赖树,确定实际使用的MyBatis版本: ```shell mvn dependency:tree | grep mybatis ``` 或者对于Gradle项目: ```shell gradle dependencies | grep mybatis ``` 2. 如果输出中包含`mybatis:3.5.6`或更早版本,则项目存在CVE-2020-26945漏洞。 ### 其他注意事项 - 引用[2]中提到了依赖冲突问题,特别是当同时使用mybatis-plus和pagehelper时。在升级过程中,也要注意避免引入新的依赖冲突。 - 引用[3]中提到的依赖未找到的问题,通常是由于仓库配置问题或版本号错误导致。在升级时确保使用正确的仓库。 ### 总结 - **漏洞存在性**:mybatis-spring-boot-starter 2.1.3传递的MyBatis核心版本存在CVE-2020-26945高危漏洞。 - **漏洞影响**:攻击者可通过构造恶意参数执行任意代码。 - **修复方案**:升级MyBatis核心到3.5.7+或升级starter到2.2.2+(同时注意Spring Boot兼容性)。 ### 相关问题 1. 如何在不升级mybatis-spring-boot-starter的情况下修复CVE-2020-26945漏洞? 2. mybatis-spring-boot-starter 2.1.3与Spring Boot 2.2.x的兼容性如何? 3. 除了CVE-2020-26945,MyBatis还有哪些常见安全风险? 4. 如何配置MyBatis以禁用危险的OGNL表达式? 5.Spring Boot项目中如何安全地使用MyBatis的动态SQL?</think>### 🔍 MyBatis-Spring-Boot-Starter 2.1.3 安全漏洞分析 #### ⚠️ 核心安全风险 **mybatis-spring-boot-starter 2.1.3 本身无独立漏洞**,但其安全性完全依赖底层组件版本。该版本存在以下关键风险: 1. **CVE-2020-26945 (高危RCE)** - 影响范围:通过传递依赖引入的 **MyBatis ≤ 3.5.6** - 漏洞原理:OGNL表达式注入导致远程代码执行 - 典型攻击场景: ```java // 危险SQL写法 @Select("SELECT * FROM user WHERE id = ${id}") User getUser(@Param("id") String id); ``` 攻击者传入`id = (java.lang.Runtime.getRuntime().exec("rm -rf /"))`可执行任意命令[^1]。 2. **SQL注入风险放大** - Starter默认配置未强制预编译,使用`${}`时风险更高 -Spring Boot 2.2.1集成时可能引入老版本依赖链漏洞[^1] #### 📊 依赖树风险分析 mybatis-spring-boot-starter 2.1.3 的典型依赖结构: ```mermaid graph LR A[mybatis-spring-boot-starter 2.1.3] --> B[mybatis-spring 2.0.6] A --> C[mybatis 3.5.5] B --> D[spring-jdbc 5.2.1] C --> E[ognl 3.1.26] <!-- 漏洞根源 --> ``` 关键风险点: - **MyBatis 3.5.5**:存在CVE-2020-26945 - **OGNL 3.1.26**:表达式解析引擎漏洞 - **Spring JDBC 5.2.1**:需检查CVE-2022-22965等漏洞 #### 🛠️ 修复方案 1. **强制升级MyBatis核心** ```xml <!-- 覆盖传递依赖 --> <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis</artifactId> <version>3.5.16</version> <!-- 安全基线版本 --> </dependency> ``` 2. **升级Starter版本(推荐)** ```xml <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>3.0.3</version> <!-- 最新安全版本 --> </dependency> ``` 3. **安全加固配置** 在`application.yml`中添加: ```yaml mybatis: configuration: default-statement-type: PREPARED # 强制预编译 safe-ognl: true # 禁用危险表达式 aggressive-lazy-loading: false # 防止懒加载漏洞 ``` #### ⚠️ 冲突风险提示 若同时使用PageHelper等插件(如引用[2]场景): ```xml <!-- 错误示例:版本冲突 --> <dependency> <groupId>com.github.pagehelper</groupId> <artifactId>pagehelper</artifactId> <version>5.2.0</version> </dependency> <!-- 正确方案:使用兼容版本 --> <dependency> <groupId>com.github.pagehelper</groupId> <artifactId>pagehelper-spring-boot-starter</artifactId> <version>1.4.6</version> <!-- 安全兼容版 --> </dependency> ``` #### 🔬 漏洞验证步骤 1. 检查依赖树: ```bash mvn dependency:tree | grep 'mybatis\|ognl' ``` 2. 若输出含`mybatis:3.5.x`或`ognl:3.1.x`则存在风险 3. 测试POC: ```java String payload = "@java.lang.Runtime@getRuntime().exec('calc.exe')"; userMapper.getUser(payload); // Windows系统观察计算器是否弹出 ``` --- ### 📌 关联漏洞矩阵 | 组件 | 版本 | CVE编号 | 风险等级 | |---------------------|-------------------|-----------------|----------| | MyBatis | ≤3.5.6 | CVE-2020-26945 | 高危 | | OGNL | 3.1.x | CVE-2020-13937 | 中危 | | Spring Framework | 5.2.1-5.2.9 | CVE-2022-22965 | 严重 | > **注**:Starter 2.1.3默认依赖Spring 5.2.x,需单独检查框架漏洞[^1] --- ### ❓ 相关问题 1. 如何验证MyBatis-Spring-Boot-Starter是否修复了CVE-2020-26945? 2. Starter 2.1.3与Spring Boot 2.7.x的兼容性如何? 3. 使用`@SelectProvider`时如何防止OGNL注入? 4. MyBatis-Plus 3.4.2是否存在类似漏洞? 5. 金融系统如何实现MyBatis SQL操作的实时安全审计?[^1]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值