MyBatis-Plus自定义sql注入器

最新推荐文章于 2025-03-21 14:36:38 发布
最新推荐文章于 2025-03-21 14:36:38 发布
阅读量626 收藏
点赞数
分类专栏: Mybatis Mysql Java 文章标签: mybatis sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongdong199033/article/details/131998020
版权

文章目录

一、前言

在日常开发过程中,我们可能会发现 MyBatis-Plus 提供的那些自带的 sql 语句无法满足我们的开发需求,想要加一些自定义的 sql,而且要应用于所有的 Mapper 上,需要怎么实现呢?

二、MyBatis-Plus自定义sql注入器功能实现

官方文档地址:https://baomidou.com/pages/42ea4a/

2.1、编写自定义sql类

编写一个自定义 sql 类,要继承 AbstractMethod 类,然后实现其 injectMappedStatement 方法来定义 sql 语句并加入到 MappedStatement 里,也可以重写 getMethod 方法来修改方法名。

ps:这里以 LogicDeleteByIdWithFill (逻辑删除并做自动填充)举例,这个是 MyBatis-Plus 自己做的扩展,如果需要自己定义 sql,仿照这个或者DefaultSqlInjector 类里的各个默认方法写就可以了。

image-20230726144224910

其实如果自己在 xml 里写 sql 的话,最终也是添加到 MappedStatement 里,这里其实就是模拟了这个操作,而且每个 Mapper 都会走这段代码,看似每个 Mapper 的 xml 里没有这些方法,但其实都存在。

2.2、将自定义sql添加到BaseMapper中

这里建议写一个自己的 BaseMapper 继承自 MyBatis-Plus 的 BaseMapper,然后所有的业务 Mapper 都继承自己的 BaseMapper

public interface MyBaseMapper<T> extends BaseMapper<T> {

    /**
     * 带自动填充的删除
     *
     * @param entity
     * @return
     */
    int deleteByIdWithFill(T entity);
}

注意,这里的方法名要与2.1中 getMethod 方法返回的方法名一致。

2.3、编写自己的sql注入器

编写一个自己的 sql 注入器,继承 DefaultSqlInjector ,实现其 getMethodList 方法,将之前写的自定义 sql 类加入其中

@Component
public class MySqlInjector extends DefaultSqlInjector {

    @Override
    public List<AbstractMethod> getMethodList(Class<?> mapperClass) {
        List<AbstractMethod> methodList = super.getMethodList(mapperClass);
        methodList.add(new LogicDeleteByIdWithFill());
        return methodList;
    }
}

这样就会在原本的方法基础上增加我们自定义的这个方法。

Mybatis-Plus 自定义SQL注入器,实现真正的批量插入![MyBatis-Plus系列]
悟纤学院
11-20 500
在实际开发过程中,当Mybatis-Plus自带的一些SQL注入器不满足我们的条件时,我们就需要自定义SQL注入器,整个流程也非常简单。(1)什么是SQL注入器:BaseMapper中每一个方法其实就是一个SQL注入器,继承了AbstractMethod的一个。如果仅是想实现支持更新空值字段并不需要我们自定义SQL注入器,因为Mybatis-Plus提供了几个扩展SQL注入器。比如在Mybatis-Plus中调用updateById方法进行数据更新默认情况下是不能更新空值字段的。
MyBatis-plus执行自定义SQL
lydms的博客
05-23 8859
还有另外24篇MySQL+MyBatis+MyBatis-plus相关文章。
Mybatis-Plus 自定义SQL注入器,非常实用!
m0_71777195的博客
06-04 2910
我们在使用Mybatis-Plus时,dao层都会去继承BaseMapper接口,这样就可以用BaseMapper接口所有的方法,BaseMapper中每一个方法其实就是一个SQL注入器Mybatis-Plus的核心(core)包下,提供的默认可注入方法有这些:那如果我们想自定义SQL注入器呢,我们该如何去做?比如在Mybatis-Plus中调用updateById方法进行数据更新默认情况下是不能更新空值字段的。而在实际开发过程中,往往会遇到需要将字段值更新为空值的情况。
MyBaitsPlus---Sql 注入器知识点补充
m0_53157173的博客
08-05 308
自定义全局操作知识点补充Sql 注入器概念步骤1.定义SQL(继承AbstractMethod 子)2.注册(SQL 注入)3.对象配置(放入到容器中)4.把方法定义到BaseMapper(继承 BaseMapper 进行扩展,添加扩展的方法)5.继承 BaseMapperPlus6.测试 Sql 注入器 概念 就是让你自己sql语句和mp的默认sql语句(basemapper中的sql语句)一起启动,就不需要映射文件了 根据MybatisPlus 的AutoSqlInjector可以自定义各种
MybatisPlus----SQL注入器提升批量插入性能,从零基础到精通,收藏这篇就够了!
wananxuexihu的博客
03-21 786
首先我们要自定义一个方法,因为Mysql 和 Oracle 的批量插入样式不一样,所以理论上要两个方法,但实际上MybatisPlus 针对 Mysql 已经有了一个内置方法 InsertBatchSomeColumn,所以我们只需要针对 Oracle 自定义方法即可 继承自·AbstractMethod// oracle 批量插入的格式// 字段筛选条件@Setter@Override//表包含主键处理逻辑,如果不包含主键当普通字段处理/* 自增主键 */
【第24章】MyBatis-PlusSQL注入器
zjg
07-09 2536
MyBatis-Plus 提供了灵活的机制来注入自定义SQL 方法,这通过全局配置实现。通过实现接口或继承抽象,你可以注入自定义的通用方法到MyBatis容器中。SQL注入器允许开发者扩展和定制SQL语句的生成,以适应特定的业务逻辑和查询需求。首先,你需要定义自定义方法的SQL语句。这通常在继承了的中完成,例如。@Override// 定义SQL语句// 第三个参数必须和baseMapper的自定义方法名一致接下来,你需要创建一个来继承,并重方法来注册你的自定义方法。
MybatisPlus深入使用指南】mybatisplus创建自定义方法sql注入器,批量操作详细(涵盖主键生成)
各位多多关照
01-26 1403
*** 新增分页拦截器,并设置数据库型为pgsql* @return*/@Bean@Bean/*** 自定义方法SQL注入器*//*** 如果只需增加方法,保留mybatis plus自带方法,* 可以先获取super.getMethodList(),再添加add*/@Override我了四个sql注入的,有更新的,插入的,插入或更新的(根据唯一索引进行判断),接下来,就分别展示一下;/*** 自定义批量插入。
Mybatis-Plus如何自定义SQL注入器
weixin_52437323的博客
04-12 397
Mybatis-Plus如何自定义SQL注入器
MyBatis-Plus入门+MyBatis-Plus文档手册 中文pdf高清版.rar
11-09
支持主键自动生成、支持ActiveRecord模式,支持自定义全局通用操作、支持关键词自动转义,内置代码生成器、内置分页插件、内置性能分析插件,内置全局拦截插件、内置sql注入剥离器 《MyBatis-Plus入门文档》主要...
mybatis-plus-sqlInjector-sql注入
最新发布
05-01
本文将探讨Mybatis-Plus中的SQL注入问题,以及如何通过SQL注入器SqlInjector)来防范这种攻击。 首先,我们需要了解什么是SQL注入,以及它为何能够对系统安全构成威胁。简单来说,SQL注入是一种代码注入技术,...
MyBatisPlus中全局Sql注入器应用_逻辑删除使用示例代码
04-27
MyBatisPlus中全局Sql注入器应用_逻辑删除使用示例代码
Mybatis-plussql注入器
jupiter_888的博客
01-02 793
mybatis-plus源码分析之sql注入器 https://objcoding.com/2019/03/17/mybatis-plus-inject-sql/ sql注入.png sql注入.png sql注入器.png 图片.png 图片.png 图片.png ...
mybatis-plusSQL注入器
努力是为了让自己不平庸。。。
03-24 620
本文介绍了SQL注入器,在原有的BaseMapper上扩展新的方法。
MyBatis-Plussql注入器
weixin_46278059的博客
12-09 1468
MyBatis-Plussql注入器
MybatisPlusSql 注入器
凉茶铺的博客
06-14 1930
我们已经知道,在MP中,通过AbstractSqlInjector将BaseMapper中的方法注入到了Mybatis容器,这样这些方法才可以正常执⾏。那么,如果我们需要扩充BaseMapper中的⽅法,⼜该如何实现呢?下⾯我们以扩展findAll⽅法为例进行学习。 其他的Mapper都可以继承该Mapper,这样实现了统⼀的扩展。如: 如果直接继承AbstractSqlInjector的话,原有的BaseMapper中的⽅法将失效,所以我们选择继承DefaultSqlInjector进行扩展。
深度剖析Mybatis-plus Injector SQL注入器
Java是世界上最好的语言
05-18 3232
深度剖析Mybatis-plus Injector SQL注入器
巧用MybatisPlusSQL注入器提升批量插入性能
热门推荐
战斧的博客
05-20 1万+
上一次我们给大家详细讲解 MybatisPlus 的条件构造器wrapper。这次我们来讲另一个开发者需要了解的功能——SQL注入器,并以实战视角讲述如何利用该特性提升MybatisPlus 的批量插入性能
MyBatis-Plus like sql注入
04-03
### MyBatis-Plus 中防止 Like 查询 SQL 注入的最佳实践 在开发过程中,SQL 注入是一个常见的安全威胁。对于像 `LIKE` 这样的查询操作,如果参数未经过适当处理,则可能成为攻击者利用的漏洞。以下是关于如何在 MyBatis-Plus 中有效预防和处理 `LIKE` 查询中的 SQL 注入问题的方法。 #### 使用预编译语句 MyBatisMyBatis-Plus 提供了内置的支持来通过预编译语句(PreparedStatement)自动转义特殊字符,从而减少手动编码的工作量并增强安全性。当使用动态 SQL 或条件构建器时,框架会自动生成带有占位符 (`?`) 的 SQL 语句[^1]。这可以确保传入的数据不会被解释为 SQL 片段的一部分。 ```java @Mapper public interface UserMapper extends BaseMapper<User> { @Select("SELECT * FROM user WHERE name LIKE CONCAT('%', #{name}, '%')") List<User> selectByNameLike(@Param("name") String name); } ``` 上述代码片段展示了如何通过 `#{}` 占位符绑定变量到 SQL 参数中,而不是直接拼接字符串。这种方式能够显著降低注入风险[^2]。 #### 利用 Wrapper 条件构造工具 MyBatis-Plus 提供了一个强大的 API——Wrapper 接口及其子接口 QueryWrapper 和 UpdateWrapper,用于简化复杂的查询逻辑编过程。这些工具可以帮助开发者更方便地实现模糊匹配功能的同时也提供了更高的安全保障: ```java QueryWrapper<User> wrapper = new QueryWrapper<>(); wrapper.like("name", userInput).or().like("email", userInput); List<User> users = userMapper.selectList(wrapper); ``` 这里的关键在于,无论何时调用了诸如 `.like()` 方法,内部都会采用安全的方式传递数据给数据库引擎执行[^3]。 #### 手动清理输入 尽管现代 ORM 已经极大地减少了手原始 SQL 的需求,但在某些情况下仍然不可避免要这样做。此时就需要特别注意对用户提交的内容进行额外验证与过滤。可以通过 Java 自带或者第三方库完成这一任务,比如 Apache Commons Lang 库下的 `StringEscapeUtils.escapeSql()` 函数[^4]: ```java import org.apache.commons.text.StringEscapeUtils; // 假设这是来自用户的不可信输入 String unsafeInput = request.getParameter("search"); // 转义潜在危险字符 String safeSearchTerm = "%" + StringEscapeUtils.escapeSql(unsafeInput) + "%"; ``` 不过需要注意的是,在大多数场景下推荐优先考虑前面提到的技术手段而非依赖于这种显式的转换方法,因为后者容易遗漏边界情况而导致隐患残留。 #### 配置全局拦截器 为了进一步加强防护措施,还可以定义一个通用的插件层用来捕获所有的请求并对其中涉及敏感字段的部分实施统一校验策略。例如创建一个基于 AspectJ AOP 的切面程序专门针对所有 DAO 层的操作加以审查[^5]。 --- ### 总结 综上所述,最佳实践中应尽可能依靠框架本身的能力去规避风险源;同时也要养成良好的编程习惯,如严格限定外部交互界面可接受的形式范围以及定期复查现有业务是否存在薄弱环节等问题所在之处。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

每天进步亿点点的小码农

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值