2. 程式人生 > >在mybatis執行SQL語句之前進行攔擊處理

在mybatis執行SQL語句之前進行攔擊處理

阿新 發佈:2018-12-31

比較適用於在分頁時候進行攔截。對分頁的SQL語句通過封裝處理,處理成不同的分頁sql。

實用性比較強。

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.List;
import java.util.Properties;

import org.apache.ibatis.executor.parameter.ParameterHandler;
import org.apache.ibatis.executor.statement.RoutingStatementHandler;
import org.apache.ibatis.executor.statement.StatementHandler;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.mapping.ParameterMapping;
import org.apache.ibatis.plugin.Interceptor;
import org.apache.ibatis.plugin.Intercepts;
import org.apache.ibatis.plugin.Invocation;
import org.apache.ibatis.plugin.Plugin;
import org.apache.ibatis.plugin.Signature;
import org.apache.ibatis.scripting.defaults.DefaultParameterHandler;

import com.yidao.utils.Page;
import com.yidao.utils.ReflectHelper;

/** 
 * 
 * 分頁攔截器,用於攔截需要進行分頁查詢的操作,然後對其進行分頁處理。 
 * 利用攔截器實現Mybatis分頁的原理: 
 * 要利用JDBC對資料庫進行操作就必須要有一個對應的Statement物件,Mybatis在執行Sql語句前就會產生一個包含Sql語句的Statement物件,而且對應的Sql語句 
 * 是在Statement之前產生的,所以我們就可以在它生成Statement之前對用來生成Statement的Sql語句下手。在Mybatis中Statement語句是通過RoutingStatementHandler物件的 
 * prepare方法生成的。所以利用攔截器實現Mybatis分頁的一個思路就是攔截StatementHandler介面的prepare方法,然後在攔截器方法中把Sql語句改成對應的分頁查詢Sql語句,之後再呼叫 
 * StatementHandler物件的prepare方法,即呼叫invocation.proceed()。 
 * 對於分頁而言,在攔截器裡面我們還需要做的一個操作就是統計滿足當前條件的記錄一共有多少,這是通過獲取到了原始的Sql語句後,把它改為對應的統計語句再利用Mybatis封裝好的引數和設 
 * 置引數的功能把Sql語句中的引數進行替換,之後再執行查詢記錄數的Sql語句進行總記錄數的統計。 
 * 
 */  
@Intercepts({@Signature(type=StatementHandler.class,method="prepare",args={Connection.class})})
public class PageInterceptor implements Interceptor {
	private String dialect = ""; //資料庫方言  
    private String pageSqlId = ""; //mapper.xml中需要攔截的ID(正則匹配)  
      
    public Object intercept(Invocation invocation) throws Throwable {
    	//對於StatementHandler其實只有兩個實現類,一個是RoutingStatementHandler,另一個是抽象類BaseStatementHandler,  
        //BaseStatementHandler有三個子類,分別是SimpleStatementHandler,PreparedStatementHandler和CallableStatementHandler,  
        //SimpleStatementHandler是用於處理Statement的,PreparedStatementHandler是處理PreparedStatement的,而CallableStatementHandler是  
        //處理CallableStatement的。Mybatis在進行Sql語句處理的時候都是建立的RoutingStatementHandler,而在RoutingStatementHandler裡面擁有一個  
        //StatementHandler型別的delegate屬性,RoutingStatementHandler會依據Statement的不同建立對應的BaseStatementHandler,即SimpleStatementHandler、  
        //PreparedStatementHandler或CallableStatementHandler,在RoutingStatementHandler裡面所有StatementHandler介面方法的實現都是呼叫的delegate對應的方法。  
        //我們在PageInterceptor類上已經用@Signature標記了該Interceptor只攔截StatementHandler介面的prepare方法,又因為Mybatis只有在建立RoutingStatementHandler的時候  
        //是通過Interceptor的plugin方法進行包裹的,所以我們這裡攔截到的目標物件肯定是RoutingStatementHandler物件。
        if(invocation.getTarget() instanceof RoutingStatementHandler){  
            RoutingStatementHandler statementHandler = (RoutingStatementHandler)invocation.getTarget();  
            StatementHandler delegate = (StatementHandler) ReflectHelper.getFieldValue(statementHandler, "delegate");  
            BoundSql boundSql = delegate.getBoundSql();
            Object obj = boundSql.getParameterObject();
            if (obj instanceof Page<?>) {  
                Page<?> page = (Page<?>) obj;  
                //通過反射獲取delegate父類BaseStatementHandler的mappedStatement屬性  
                MappedStatement mappedStatement = (MappedStatement)ReflectHelper.getFieldValue(delegate, "mappedStatement");  
                //攔截到的prepare方法引數是一個Connection物件  
                Connection connection = (Connection)invocation.getArgs()[0];  
                //獲取當前要執行的Sql語句,也就是我們直接在Mapper對映語句中寫的Sql語句  
                String sql = boundSql.getSql();  
                //給當前的page引數物件設定總記錄數  
                this.setTotalRecord(page,  
                       mappedStatement, connection);  
                //獲取分頁Sql語句  
                String pageSql = this.getPageSql(page, sql);  
                //利用反射設定當前BoundSql對應的sql屬性為我們建立好的分頁Sql語句  
                ReflectHelper.setFieldValue(boundSql, "sql", pageSql);  
            } 
        }  
        return invocation.proceed();  
    }
    
    /** 
     * 給當前的引數物件page設定總記錄數 
     * 
     * @param page Mapper對映語句對應的引數物件 
     * @param mappedStatement Mapper對映語句 
     * @param connection 當前的資料庫連線 
     */  
    private void setTotalRecord(Page<?> page,  
           MappedStatement mappedStatement, Connection connection) {  
       //獲取對應的BoundSql,這個BoundSql其實跟我們利用StatementHandler獲取到的BoundSql是同一個物件。  
       //delegate裡面的boundSql也是通過mappedStatement.getBoundSql(paramObj)方法獲取到的。  
       BoundSql boundSql = mappedStatement.getBoundSql(page);  
       //獲取到我們自己寫在Mapper對映語句中對應的Sql語句  
       String sql = boundSql.getSql();  
       //通過查詢Sql語句獲取到對應的計算總記錄數的sql語句  
       String countSql = this.getCountSql(sql);  
       //通過BoundSql獲取對應的引數對映  
       List<ParameterMapping> parameterMappings = boundSql.getParameterMappings();  
       //利用Configuration、查詢記錄數的Sql語句countSql、引數對映關係parameterMappings和引數物件page建立查詢記錄數對應的BoundSql物件。  
       BoundSql countBoundSql = new BoundSql(mappedStatement.getConfiguration(), countSql, parameterMappings, page);  
       //通過mappedStatement、引數物件page和BoundSql物件countBoundSql建立一個用於設定引數的ParameterHandler物件  
       ParameterHandler parameterHandler = new DefaultParameterHandler(mappedStatement, page, countBoundSql);  
       //通過connection建立一個countSql對應的PreparedStatement物件。  
       PreparedStatement pstmt = null;  
       ResultSet rs = null;  
       try {  
           pstmt = connection.prepareStatement(countSql);  
           //通過parameterHandler給PreparedStatement物件設定引數  
           parameterHandler.setParameters(pstmt);  
           //之後就是執行獲取總記錄數的Sql語句和獲取結果了。  
           rs = pstmt.executeQuery();  
           if (rs.next()) {  
              int totalRecord = rs.getInt(1);  
              //給當前的引數page物件設定總記錄數  
              page.setTotalRecord(totalRecord);  
           }  
       } catch (SQLException e) {  
           e.printStackTrace();  
       } finally {  
           try {  
              if (rs != null)  
                  rs.close();  
               if (pstmt != null)  
                  pstmt.close();  
           } catch (SQLException e) {  
              e.printStackTrace();  
           }  
       }  
    }  
    
    /** 
     * 根據原Sql語句獲取對應的查詢總記錄數的Sql語句 
     * @param sql 
     * @return 
     */  
    private String getCountSql(String sql) {  
       int index = sql.indexOf("from");  
       return "select count(*) " + sql.substring(index);  
    }  
    
    /** 
     * 根據page物件獲取對應的分頁查詢Sql語句,這裡只做了兩種資料庫型別,Mysql和Oracle 
     * 其它的資料庫都 沒有進行分頁 
     * 
     * @param page 分頁物件 
     * @param sql 原sql語句 
     * @return 
     */  
    private String getPageSql(Page<?> page, String sql) {  
       StringBuffer sqlBuffer = new StringBuffer(sql);  
       if ("mysql".equalsIgnoreCase(dialect)) {  
           return getMysqlPageSql(page, sqlBuffer);  
       } else if ("oracle".equalsIgnoreCase(dialect)) {  
           return getOraclePageSql(page, sqlBuffer);  
       }  
       return sqlBuffer.toString();  
    }  
    
    /** 
    * 獲取Mysql資料庫的分頁查詢語句 
    * @param page 分頁物件 
    * @param sqlBuffer 包含原sql語句的StringBuffer物件 
    * @return Mysql資料庫分頁語句 
    */  
   private String getMysqlPageSql(Page<?> page, StringBuffer sqlBuffer) {  
      //計算第一條記錄的位置,Mysql中記錄的位置是從0開始的。  
//	   System.out.println("page:"+page.getPage()+"-------"+page.getRows());
      int offset = (page.getPage() - 1) * page.getRows();  
      sqlBuffer.append(" limit ").append(offset).append(",").append(page.getRows());  
      return sqlBuffer.toString();  
   }  
    
   /** 
    * 獲取Oracle資料庫的分頁查詢語句 
    * @param page 分頁物件 
    * @param sqlBuffer 包含原sql語句的StringBuffer物件 
    * @return Oracle資料庫的分頁查詢語句 
    */  
   private String getOraclePageSql(Page<?> page, StringBuffer sqlBuffer) {  
      //計算第一條記錄的位置,Oracle分頁是通過rownum進行的,而rownum是從1開始的  
      int offset = (page.getPage() - 1) * page.getRows() + 1;  
      sqlBuffer.insert(0, "select u.*, rownum r from (").append(") u where rownum < ").append(offset + page.getRows());  
      sqlBuffer.insert(0, "select * from (").append(") where r >= ").append(offset);  
      //上面的Sql語句拼接之後大概是這個樣子:  
      //select * from (select u.*, rownum r from (select * from t_user) u where rownum < 31) where r >= 16  
      return sqlBuffer.toString();  
   }  
   
      
    /** 
     * 攔截器對應的封裝原始物件的方法 
     */        
    public Object plugin(Object arg0) {  
        // TODO Auto-generated method stub  
    	if (arg0 instanceof StatementHandler) {  
            return Plugin.wrap(arg0, this);  
        } else {  
            return arg0;  
        } 
    }  
  
    /** 
     * 設定註冊攔截器時設定的屬性 
     */ 
    public void setProperties(Properties p) {
    	
    }

	public String getDialect() {
		return dialect;
	}

	public void setDialect(String dialect) {
		this.dialect = dialect;
	}

	public String getPageSqlId() {
		return pageSqlId;
	}

	public void setPageSqlId(String pageSqlId) {
		this.pageSqlId = pageSqlId;
	}
    
}

xml配置:

<!-- MyBatis 介面程式設計配置  -->
	<bean class="org.mybatis.spring.mapper.MapperScannerConfigurer">
	    <!-- basePackage指定要掃描的包,在此包之下的對映器都會被搜尋到,可指定多個包,包與包之間用逗號或分號分隔-->
	    <property name="basePackage" value="com.yidao.mybatis.dao" />
	    <property name="sqlSessionFactoryBeanName" value="sqlSessionFactory" />
	</bean>
	
	<!-- MyBatis 分頁攔截器-->
	<bean id="paginationInterceptor" class="com.mybatis.interceptor.PageInterceptor">
	    <property name="dialect" value="mysql"/> 
	    <!-- 攔截Mapper.xml檔案中,id包含query字元的語句 --> 
        <property name="pageSqlId" value=".*query$"/>
    </bean>

Page類

package com.yidao.utils;


/**自己看看,需要什麼欄位加什麼欄位吧*/
public class Page {
	
	private Integer rows;
	
	private Integer page = 1;
	
	private Integer totalRecord;

	public Integer getRows() {
		return rows;
	}

	public void setRows(Integer rows) {
		this.rows = rows;
	}

	public Integer getPage() {
		return page;
	}

	public void setPage(Integer page) {
		this.page = page;
	}

	public Integer getTotalRecord() {
		return totalRecord;
	}

	public void setTotalRecord(Integer totalRecord) {
		this.totalRecord = totalRecord;
	}
	
}

ReflectHelper類

package com.yidao.utils;

import java.lang.reflect.Field;

import org.apache.commons.lang3.reflect.FieldUtils;

public class ReflectHelper {
	
	public static Object getFieldValue(Object obj , String fieldName ){
		
		if(obj == null){
			return null ;
		}
		
		Field targetField = getTargetField(obj.getClass(), fieldName);
		
		try {
			return FieldUtils.readField(targetField, obj, true ) ;
		} catch (IllegalAccessException e) {
			e.printStackTrace();
		} 
		return null ;
	}
	
	public static Field getTargetField(Class<?> targetClass, String fieldName) {
		Field field = null;

		try {
			if (targetClass == null) {
				return field;
			}

			if (Object.class.equals(targetClass)) {
				return field;
			}

			field = FieldUtils.getDeclaredField(targetClass, fieldName, true);
			if (field == null) {
				field = getTargetField(targetClass.getSuperclass(), fieldName);
			}
		} catch (Exception e) {
		}

		return field;
	}
	
	public static void setFieldValue(Object obj , String fieldName , Object value ){
		if(null == obj){return;}
		Field targetField = getTargetField(obj.getClass(), fieldName);	
		try {
			 FieldUtils.writeField(targetField, obj, value) ;
		} catch (IllegalAccessException e) {
			e.printStackTrace();
		} 
	} 
}

相關推薦

mybatis執行SQL語句之前進行攔擊處理

比較適用於在分頁時候進行攔截。對分頁的SQL語句通過封裝處理,處理成不同的分頁sql。 實用性比較強。 import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.Resu

mybatis執行SQL語句之前進行攔截處理

比較適用於在分頁時候進行攔截。對分頁的SQL語句通過封裝處理,處理成不同的分頁sql。 實用性比較強。 [java] view plain copy print? import java.sql.Connection;  import java.sql.Prep

mybatis執行sql語句

目的: 1. 解決統計(求和、數量)需要去配置xml的問題。 2. 解決返回欄位未知情況 3. mybatis 執行自定sql 一、 sql組裝工具類 package com.onem2.pingmi.base.common.util; import java.io.S

MyBatis直接執行sql語句mapper

表示 batis 執行sql sql col cda [] result 內容 <select id="queryBySql" resultType="HashMap"> <![CDATA[ ${sql}

mybatis執行SQL語句時可以插入null值

在mybatis中,SQL語句在插入時預設不允許插入null值,如果在頁面中傳過來null值,在插入操作時會報錯 org.apache.ibatis.exceptions.PersistenceException: ### Error updating database.  

MyBatis中多對一對映時,執行sql語句的寫法

情境再現: 在使用MyBatis來進行多對一對映時,出現了sql語句中某個屬性為空的現象 <!-- 增加 地址資訊--> <insert id="insertAddress" par

SqlServer--bat批處理執行sql語句1-osql

首先需要知道,此處使用的批處理命令是osql ,如果安裝了SqlServer,目錄類似: D:\Program Files\Microsoft SQL Server\100\Tools\Binn 指令碼: cd D:\Program Files\Microsoft SQL

SQL中where in的用法以及mybatis執行查詢語句,可以在plsql中查詢資料,但是在程式中查詢不到

首先我們要知道where是什麼:一個判斷符。在SQL操作中,控制只選擇指定的行。 in的其實歸類於特殊的比較運算子 expr1 between expr2 and expr3:表示expr1的值在expr2和expr3之間 expr in(expr2,expr3,expr4,

MyBatis-Spring 執行SQL語句的流程

1. 從SqlSessionDaoSupport開始 通常我們使用MyBatis會讓自己的DAO繼承SqlSessionDaoSupport,那麼SqlSessionDaoSupport是如何運作的呢,下面是SqlSessionDaoSupport的原始碼 /* * Copyright 2010

EF執行SQL語句 結果和直接在Sqlserver中執行結果不一致

enume 出了 text con query context png syn raw 先說問題 直接執行sql的結果 var result = base.Context.Customers.SqlQuery(sql);   sql 語句是打斷點取得的,連接的也

EF執行SQL語句和存儲過程

div spa rip mman code rom {0} base result EF雖然使用對象化的方式避免了我們寫SQL,但是對於部分SQL,例如需要復雜的查詢、執行插入和刪除等可以操作,直接執行SQL可以減少減少性能上的損失。 使用EF執行SQL可以通過Execut

Shell腳本中執行sql語句操作

out ins host source con more char 演示 -1   這篇文章主要介紹了Shell腳本中執行sql語句操作mysql的5種方法,本文講解了將SQL語句直接嵌入到shell腳本文件中、命令行調用單獨的SQL文件、使用管道符調用SQL文件等方法,需

shell 腳本中執行SQL語句 -e "..."

... from rom bin 執行 dev use class col /usr/local/mysql/bin/mysql -uroot -p123456 -e " use faygo source faygo.sql select * from devquit "

為什麽要參數化執行SQL語句呢?

執行sql 漏洞攻擊 用戶輸入 lec bsp 參數化 查找 作用 找到 C#參數化執行SQL語句,防止漏洞攻擊本文以MYSQL為例【20151108非查詢操作】 為什麽要參數化執行SQL語句呢? 一個作用就是可以防止用戶註入漏洞。 簡單舉個列子吧。 比如賬號密碼登入,如

java mybatis學習之$和#區別,mapper代理接口,動態SQL,在日誌中輸出mybatissql語句

except 控制臺 處理方式 ron target 技術分享 需要 prefix job 1.在mybatis中,$和#的區別: #{}:表示一個預處理參數,參數類型不定,是根據傳入的參數類型來設定的。類似於JDBC中的? 特例使用,模糊查詢:(針對oracle): an

Shell命令行執行SQL語句

list res process out def slist ssl 數據庫 default 工作中通常需要編寫Shell腳本,執行SQL語句,下面總結幾種數據庫利用shell執行SQL語句的方法: 一、MySQL數據庫: mysql --defaults-file=.my

php執行sql語句打印結果

nbsp over log row itl ade soc obj 結果 1     $dbname=DB_NAME; 2 $host=DB_HOST; 3 $port=DB_PORT; 4 $user =DB_U

sql無效字符 執行sql語句報錯解決方案

tar nbsp color col copy 坑爹 執行 解決方案 原來 以為是sql中參數賦值有問題,但是將sql語句直接copy到PLSQL中執行,卻沒問題,糾結了好久,原來是 insert語句多了;唉,坑爹 http://www.jb51.net/article/3

為什麽pymysql執行SQL語句提示成功但實際並沒有操作數據庫?

PyQt5 Python pymysql 開發環境:Anaconda3+PyCharm2018問題:使用pymysql插入數據提示成功,連接數據庫發現並沒有數據。原因:pymysql在連接數據庫的時候會有一個參數autocommit默認為False,表示執行完SQL語句後是否自動提交到真正的數據庫

Mybatis動態SQL語句使用

第一個 from 在外 字符串 each nbsp mea pack ger 在實際開發中,有時候查詢條件可能是不確定的,查詢條件可能有多條也可能沒有,這時候就需要用到動態的sql語句拼接功能。 一、if、where、sql標簽的使用 需求:在一些高級查詢中,查詢條件存