欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Mybatis動態(tài)傳入order?by問題

 更新時間:2022年12月29日 10:33:59   作者:ClearLoveQ  
這篇文章主要介紹了Mybatis動態(tài)傳入order?by問題,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教

Mybatis動態(tài)傳入order by

當(dāng)Mybatis的mapper文件傳入的order by 為動態(tài)參數(shù)說的時候發(fā)現(xiàn)排序無法生效:

像下面這樣,在choose when中的order by后的參數(shù)是用預(yù)編譯的方式,用的是#號,這樣是可以防止sql注入的問題,但是在傳入order by參數(shù)的時候無法解析:

	<select id="feescaleList" resultType="com.hasagei.modules.mebespoke.entity.HasageiMeBespoke" parameterType="com.hasagei.modules.mebespoke.entity.HasageiMeBespoke">
		SELECT
		A.ID AS id,
		TO_CHAR(A.BESPOKE_DATE,'yyyy-mm-dd') AS bsepokeDate,
		A.USER_ID AS	userId,
		A.BESPOKE_DATE AS	bespokeDate,
		A.BESPOKE_STATUS	bespokeStatus,
		A.PROJECT_ID AS	projectId,
		A.PERIOD_START AS 	periodStart,
		A.PERIOD_END AS	periodEnd,
		A.FEESCALE_MONEY AS feescaleMoney,
		A.FEESCALE_NAME AS feescaleName,
		A.PAYMENT_TIME AS paymentTime,
		A.PAYMENT_MONEY AS paymentMoney,
		B.IDENTITY_CARD AS identityCard,
		B.REALNAME AS realname,
		B.SJ AS sj,
		B.GZZH AS   gzzh,
		B.PHOTOELECTRIC_CARD AS photoelectricCard,
		B.SEX AS sex,
		B.BIRTH_DATE AS  birthDate,
		B.STUDENT_ID AS  studentId,
		B.EXAMINE_NUMBER AS  examineNumber,
		B.DEPARTMENT AS  department,
		B.FACULTY AS  faculty,
		C.MEC_NAME AS mecName
		FROM
		TSINGHUA_ME_BESPOKE A LEFT JOIN TSINGHUA_USERINFO B ON A.USER_ID=B.ID
		LEFT JOIN MEC_ITEM C ON A.PROJECT_ID=C.MEC_NUMBER
		WHERE 1=1
		<if test='bespokeDateGteJ != null and bespokeDateLteJ != null '>
			<if test='bespokeDateLteJ != "" and bespokeDateLteJ != ""'>
				AND A.PAYMENT_TIME <![CDATA[<=]]> to_date(#{bespokeDateLteJ,jdbcType=DATE},'yyyy-MM-dd HH24:MI:SS')
				AND A.PAYMENT_TIME <![CDATA[>=]]> to_date(#{bespokeDateGteJ,jdbcType=DATE},'yyyy-MM-dd HH24:MI:SS')
			</if>
		</if>
		<choose>
			<when test='orderByFiled!=null and orderByFiled!="" and orderBySe!=null and orderBySe!=""'>
				ORDER BY #{orderByFiled}  #{orderBySe}
			</when>
			<otherwise>
				ORDER BY A.PAYMENT_TIME DESC
			</otherwise>
		</choose>
	</select>

最簡單的解決辦法是將#換為$,但是這樣會有sql注入的問題

Mybatis order by動態(tài)參數(shù)防注入

先提及一下Mybatis動態(tài)參數(shù)

參數(shù)符號編譯安全
#{}預(yù)編譯安全處理后的值,字符類型都帶雙引號
${}未預(yù)編譯不安全,存在SQL注入問題傳進(jìn)來啥就是啥

order by 動態(tài)參數(shù)

order by 后面參數(shù)值是表字段或者SQL關(guān)鍵字

所以使用#{} 是無效的,只能使用${}

那么SQL注入問題就來了

解決Order by動態(tài)參數(shù)注入問題

1、使用正則表達(dá)式規(guī)避

特殊字符 * + - / _ 等等

使用indexOf判斷到了直接返回

有可能會存在其它情況,不能完全規(guī)避,但是可以逐步排查

2、技巧解決

  • 2.1 先從order by 動態(tài)參數(shù)思考

組合情況只有這兩種

  • order by 字段名 (asc直接略掉得了) 
  • order by 字段名 desc

所以我們只要找到對應(yīng)集合,判斷我們動態(tài)排序條件是否在其中就可以了

  • 2.2 獲取排序條件集合

有些勤勞的小伙伴可能就開始寫了

userOrderSet = ['id','id desc','age','age desc',.......]
scoreOrderSet = ['yuwen','yuwen desc','shuxue','shuxue desc',.......]
.............

要是有n多表n多字段可是要急死人

我們使用注解+映射來獲取

  • 2.3 動態(tài)獲取集合
/**
首先改造實體類,有@Column注解映射,也有使用@JsonProperty,都行,沒有用@Column映射,就加個@JsonProperty,不影響,我偷懶使用@JsonProperty
**/
@Data
@Builder
@JsonIgnoreProperties(ignoreUnknown = true)
public class ContentEntity {
 
    
    @JsonProperty("id")
    private Long id;//主鍵ID
    @JsonProperty("code")
    private String code;//編碼
    @JsonProperty("content")
    private String content;//內(nèi)容
    @JsonProperty("is_del")
    private Integer isDel;//是否刪除,0未刪除,1已刪除
    @JsonProperty("creator")
    private String creator;//創(chuàng)建人
    @JsonProperty("creator_id")
    @JsonFormat(pattern = DatePattern.NORM_DATETIME_PATTERN, timezone = "GMT+8")
    private Date createAt;//創(chuàng)建時間
    @JsonProperty("updater")
    private String updater;//更新人
    @JsonProperty("updater_id")
    @JsonFormat(pattern = DatePattern.NORM_DATETIME_PATTERN, timezone = "GMT+8")
    private Date updateAt;//更新時間
 
}
/**工具類來了**/
 
public class MybatisDynamicOrderUtils {
 
    private static final String desc = " desc";
    /**
     * 獲取對象 JsonProperty 值列表 使用Column替換一下
     * @param object
     * @return
     */
    public static Set<String> getParamJsonPropertyValue(Class<?> object){
        try {
            //獲取filed數(shù)組
            Set<String> resultList =  new HashSet<>();
            Field[] fields = object.getDeclaredFields();
            for (Field field:fields){
                //獲取JsonProperty注解
                if(field.getAnnotation(JsonProperty.class)!=null){
                    JsonProperty annotation = field.getAnnotation(JsonProperty.class);
                    if (annotation != null) {
                        //獲取JsonProperty 的值
                        String jsonPropertyValue = annotation.value();
                        resultList.add(jsonPropertyValue);
                    }
                }
            }
            return resultList;
        }catch (Exception e){
            e.printStackTrace();
        }
        return null;
    }
 
    /**
     * 判斷動態(tài)order是否是合理
     * @param order
     * @param object
     * @return
     */
    public static Boolean isDynamicOrderValue(String order,Class<?> object){
        //先獲取JsonProperty 注解中的集合
        Set<String> set = getParamJsonPropertyValue(object);
        //屬于直屬字段 直接返回
        if(set.contains(order)){
            return true;
        }
        //多了倒序,先去除倒序字段再判斷
        if(order.lastIndexOf(desc)>0){
            String temp = order.substring(0,order.lastIndexOf(desc));
            if(set.contains(temp)){
                return true;
            }
        }
        return false;
    }
}
//調(diào)用操作一下
 
//檢驗動態(tài)order是否合理,防止SQL注入
if(!MybatisDynamicOrderUtils.isDynamicOrderValue(sort,ContentEntity.class)){
            log.error("dynamic order is error:{}",sort);
            return null;
}
 
 
 
//mapper.class
 
@Select({"<script>select  * from content order by ${sort}</script>"})
List<ContentEntity> getList(@Param("sort") String sort);

總結(jié)

以上為個人經(jīng)驗,希望能給大家一個參考,也希望大家多多支持腳本之家。

相關(guān)文章

  • Mysql以utf8存儲gbk輸出的實現(xiàn)方法提供

    Mysql以utf8存儲gbk輸出的實現(xiàn)方法提供

    Mysql以utf8存儲gbk輸出的實現(xiàn)方法提供...
    2007-11-11
  • 解決MySql版本問題sql_mode=only_full_group_by

    解決MySql版本問題sql_mode=only_full_group_by

    這篇文章主要介紹了解決MySql版本問題sql_mode=only_full_group_by,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2022-11-11
  • 登錄mysql報錯Can‘t connect to MySQL server on ‘localhost:3306‘ (10061)解決方法

    登錄mysql報錯Can‘t connect to MySQL server&n

    這篇文章主要給大家介紹了登錄mysql報錯 Can‘t connect to MySQL server on ‘localhost:3306‘ (10061)解決方法,文中有詳細(xì)的解決步驟,需要的朋友可以參考下
    2023-09-09
  • MySQL解壓版配置步驟詳細(xì)教程

    MySQL解壓版配置步驟詳細(xì)教程

    這篇文章主要介紹了MySQL解壓版配置步驟詳細(xì)教程的相關(guān)資料,非常不錯,具有參考借鑒價值,需要的朋友可以參考下
    2016-12-12
  • MySQL 全文索引的原理與缺陷

    MySQL 全文索引的原理與缺陷

    這篇文章主要介紹了MySQL 全文索引的原理與缺陷,幫助大家更好的理解和使用MySQL中的索引,感興趣的朋友可以了解下
    2020-12-12
  • Mysql的Binlog數(shù)據(jù)恢復(fù):不小心刪除數(shù)據(jù)庫詳解

    Mysql的Binlog數(shù)據(jù)恢復(fù):不小心刪除數(shù)據(jù)庫詳解

    這篇文章主要介紹了Mysql的Binlog數(shù)據(jù)恢復(fù),文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-04-04
  • Mysql避免重復(fù)插入數(shù)據(jù)的4種方式

    Mysql避免重復(fù)插入數(shù)據(jù)的4種方式

    這篇文章主要介紹了Mysql避免重復(fù)插入數(shù)據(jù)的4種方式,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2021-02-02
  • Mysql簡易索引方案講解

    Mysql簡易索引方案講解

    這篇文章主要為大家介紹了Mysql索引如何實現(xiàn)更加簡易的查找方案,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2022-05-05
  • MySQL Community Server壓縮包安裝配置方法

    MySQL Community Server壓縮包安裝配置方法

    這篇文章主要為大家詳細(xì)介紹了MySQL Community Server壓縮包安裝配置方法,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2017-11-11
  • Linux手動部署遠(yuǎn)程的mysql數(shù)據(jù)庫的方法詳解

    Linux手動部署遠(yuǎn)程的mysql數(shù)據(jù)庫的方法詳解

    這篇文章主要介紹了Linux手動部署遠(yuǎn)程的mysql數(shù)據(jù)庫的方法詳解,本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2020-11-11

最新評論