mybatis-plus自定义插件解决模糊查询特殊字符转义问题

最新推荐文章于 2024-12-26 14:32:19 发布
最新推荐文章于 2024-12-26 14:32:19 发布
阅读量3.5k 收藏 28
点赞数 5
分类专栏: Utils 文章标签: mybatis mysql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yiqiu1959/article/details/128015577
版权
本文介绍了如何在Mybatis-Plus中自定义一个拦截器(InnerInterceptor)来处理模糊查询时的特殊字符转义问题,避免因未转义特殊字符导致的SQL注入风险。通过拦截器,可以统一处理所有like查询的参数,减少代码重复,提高安全性。同时,文章提供了详细的代码实现和配置方法,以及注意事项,如拦截器的添加顺序对分页查询的影响。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这里是针对mybatis-plus的模糊查询插件(InnerInterceptor), 我看网上很多都是在mybatis层面做拦截器(Interceptor) ,最后不是没生效,就是导致原先自己的 mapper 实体报错等问题。

背景:MySQL模糊查询时,如果前端传了特殊字符而后端没有对特殊字符转义的话,特殊字符就会被识别为SQL中的特殊字符,发挥其特殊字符的含义,如占位符’_‘、’%‘等,如需MySQL将这些字符识别为普通字符,则需要在其前面加上转义符,默认是反斜杠,即变为’_‘、’%'即可。

但是每个查询的地方都加转义,又麻烦又容易遗漏,所以借鉴类似AOP的思想,加一层拦截来解决,如果你的orm框架使用的mybatis-plus,则可以通过实现一个自定义插件解决,mybatis也有类似插件规范。

要求mybatis-plus的版本(starter)>=3.4.0

直接无脑上代码 复制粘贴就行
1、写拦截器插件

import cn.hutool.core.bean.BeanUtil;
import cn.hutool.core.lang.Filter;
import cn.hutool.core.util.StrUtil;
import com.baomidou.mybatisplus.core.conditions.AbstractWrapper;
import com.baomidou.mybatisplus.extension.plugins.inner.InnerInterceptor;
import org.apache.ibatis.executor.Executor;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.session.ResultHandler;
import org.apache.ibatis.session.RowBounds;

import java.sql.SQLException;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

/**
 * 自定义mybatis-plus拦截器, 用于转义模糊查询参数中的特殊字符
 *
 * @author wangjingyang
 * @date 2021/6/24 10:33
 */
public class EscapeLikeSqlInterceptor implements InnerInterceptor {
   
    /**
     * 点
     */
    public static final String DOT = ".";

    /**
     * 按?分割字符串表达式
     */
    public static final String PLACEHOLDER_REGEX = "\\?";

    /**
     * 按.分割字符串表达式
     */
    public static final String DOT_REGEX = "\\.";

    /**
     * like操作通配符
     */
    public static final char LIKE_WILDCARD_CHARACTER = '%';

    /**
     * like操作通常会存在的占位符形式
     */
    public static final String PLACEHOLDER = " ?";

    /**
     * 条件构造器生成sql特有的参数名前缀
     */
    public static final String WRAPPER_PARAMETER_PROPERTY = "ew.paramNameValuePairs.";

    /**
     * like语句在sql中的字符串
     */
    private final String LIKE_SQL = " like ";

    private static final String SQL_SPECIAL_CHARACTER = "_%*@|&()[]\"'\\";

    /**
     * 不应用此拦截器的参数名,方法参数中有此名称的参数则不应用此拦截器
     */
    private final String IGNORE = "EscapeLikeSqlIgnore";

    @Override
    public void beforeQuery(Executor executor, MappedStatement ms, Object parameter, RowBounds rowBounds, ResultHandler resultHandler, BoundSql boundSql) throws SQLException {
   
        if (parameter instanceof Map) {
   
            Map<?, ?> parameterMap = (
最低0.47元/天 解锁文章
mybatis-plus Interceptor 拦截器实现查询特殊字符以及特殊字符转义
qwertyu1234567g的博客
02-01 1591
\* 等特殊字符数据的模糊查询,现总结依据mybatis拦截器实现步骤如下;1. 实现Interceptor 重写intercept方法。2.对查询语句含有like模糊查询时,对查询参数进行转义处理。3. like 转化为对应的正则匹配函数查询。
MyBatis-Plus(Ⅵ)插件
最新发布
m0_74977981的博客
03-27 1165
小王 也在操作,取出的商品价格也是100元。小李将价格加了50元,并将100+50=150元存入了数据 库;小王将商品减了30元,并将100-30=70元存入了数据库。一件商品,成本价是80元,售价是100元。,小王保存价格前,会检查下价格是否被人修改过了。如果被修改过了,则重新取出的被修改后的价格,150元,这样他会将120元存入数据库。几分钟后,这个商品很快出售了1千多件商品,老板亏1 万多。,小李取出数据后,小王只能等小李操作完之后,才能对价格进行操作,也会保证最终的价格是120元。
mybatis/mybatis-plus模糊查询语句特殊字符转义拦截器
u010044936的博客
07-03 8016
在开发中,我们通常会遇到这样的情况。用户在录入信息是录入了‘%’,而在查询时无法精确匹配‘%’。究其原因,‘%’是MySQL的关键字,如果我们想要精确匹配‘%’,那么需要对其进行转义。 1.使用mybatis提供的拦截器拦截所有的查询请求。 具体实现在代码中均有注释 import lombok.extern.slf4j.Slf4j; import org.apache.commons.lang3.StringUtils; import org.apache.ibatis.executor.Executor;
MyBatis-Plus模糊查询特殊字符转义
一些编程相关内容
12-18 2050
MyBatis-Plus会直接将用户的输入拼接到查询语句中,例如%_%,但我们实际需要的是%\_%,例如需要查询出名称带下划线的用户,点击查询后却查出了全部用户。为了解决这个问题可以使用一个MyBatis-Plus的全局拦截器对特殊字符进行转义
mybatis(mybatis-plus)映射文件(XML文件)中特殊字符转义
热门推荐
吴名氏的博客
09-01 7万+
mybatis(mybatis-plus)映射文件(XML文件)中特殊字符转义
mybatis-plus 用法总结
weixin_65019617的博客
12-26 1533
Test// 1.生成SQL// 2.更新,注意第一个参数可以给null,也就是不填更新字段和数据,// 而是基于UpdateWrapper中的setSQL来更新@GetterNORMAL(1, "正常"),FREEZE(2, "冻结");@EnumValue //标记枚举属性@JsonValue //标记JSON序列化时展示的字段要让处理枚举与数据库类型自动转换,我们必须告诉,枚举中的哪个字段的值作为数据库值。提供了@EnumValue。
Mybatis拦截器实现特殊字符转义,优化模糊查询安全
通过上述知识点的介绍,我们可以对Mybatis自定义拦截器以及模糊查询特殊字符转义处理有了深入的理解。了解了拦截器的实现原理和使用限制,可以有效提升Mybatis框架在实际应用中的安全性和效率。同时,合理利用...
SpringBoot自定义Mybatis数据源,SpringBoot集成Druid数据库连接池,自定义Mybatis拦截器转义特殊字符\%_
头好重好重的博客
03-26 729
SpringBoot注解方式集成Druid,将其作为Mybatis数据源注入。 近期项目上发现一个问题,我们有时候会用到like %?%这种查询语句,有时是mybatisplus中的QueryMapper.like(?)构建的语句,有时候是我们在mapper层自己定义的like concat('%', #{id}, '%')这种语句,当传递进来的参数是若干个下划线_时会查询到所有的数据而不是包含下划线的数据,因为下划线代表任意一个字符,这就会导致sql注入风险,导致原有的语义改变。
mybatis-plus 拦截器解决模糊查询特殊字符转义问题
weixin_45636743的博客
07-20 1136
处理mybatis-plus 模糊查询特殊字符转义问题,使用mybatis-plus 3.4.2版本,实现 InnerInterceptor。遗留Bug,不支持foreach方式,打印的仍然没有替换!问题sql控制台打印。
Mybatis自定义拦截器,对模糊查询传值的特殊字符统一进行转义处理的代码
08-18
特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%*%)和半角模糊查询(%*或*%)
Mybatis自定义拦截器,对模糊查询传值的特殊字符(\,_,%)统一进行转义处理的代码
07-27
代码包含: EscapeUtil.java:特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%*%)和半角模糊查询(%*或*%)
mybatis-plus like 查询 转义特殊字符%_\
八重齒
12-22 5760
like CONCAT('%',?,'%') 查询的参数 中 包含 特殊字符 %_\ 导致结果查询结果不是期望值,被like查询字段值内容包含 %_\ 字符。
mybatis-plus转义
zylfsklysdq的博客
05-26 2296
MyBatis-Plus模糊查询特殊字符转义的实现
chinaherolts2008的博客
08-03 342
MyBatis-Plus会直接将用户的输入拼接到查询语句中,例如%_%,但我们实际需要的是%_%,为了解决这个问题可以使用一个MyBatis-Plus的全局拦截器对特殊字符进行转义。到此这篇关于MyBatis-Plus模糊查询特殊字符转义的实现的文章就介绍到这了,更多相关MyBatisPlus字符串转义内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持。使用MyBatis中的模糊查询时,当查询关键字中包括有_、\、%时,查询关键字失效。之后将拦截器添加到配置类即可。
MyBatis Plus之like模糊查询中包含有特殊字符
liyanggyang的博客
07-09 991
mybatis like 特殊字符处理 % _ \
mybatisplus 常用注解 特殊符号转义 分页不起效 找不到class vscode自动整理import语句
weixin_43292547的博客
09-24 489
【代码】mybatisplus 常用注解 特殊符号转义 分页不起效。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值