测试小妹闲着无聊,针对某一个查询项进行“%”测试,正常查询效果应该是返回空数据,但是却查出所有的数据。
%(百分号):相当于任意多个字符;
_(下划线):相当于任意的单个字符;
1:(查询条件参数,比如"xx%_x")param.replaceAll(“%”, “/%”).replaceAll(“-”, “/-”)
2:select * from table where column like concat(’%’,#{param},’%’) escape ‘/’;
处理之后百分号%、下划线_在mybatis执行该拼接的sql语句的时候就不会被转义处理了
escape ‘/’ 指用’/'说明后面的%或_就不作为通配符而是普通字符了,注意前面没有转义字符的%仍然起通配符作用
like concat(’%’,#{param},’%’) 、like ‘%${param}%’ 、 like ‘%’||#{param}||’%'是一个意思;
public class EscapeUtil {
/**
* mysql的模糊查询时特殊字符转义(条件查询%或者_查询所有问题)
*/
public static String escapeChar(String string){
if(StringUtils.isNotBlank(string)){
string = string.replaceAll("_", "/_");
string = string.replaceAll("%", "/%");
}
return string.trim() ;
}
}
假设User有一个name字段
此时在查询数据前需要做一次转译
user.setName(EscapeUtil.escapeChar(user.getName()));
在Mapper文件需要如下编码
<!-- 姓名 -->
<if test="name !=null and name !='' and name !='null'">
NAME LIKE CONCAT('%',CONCAT(#{condition.name},'%')) escape '/'
</if>
/**
* 功能: 处理模糊查询中的特殊符号
*
* ──────────────────────────────────────────
* version 变更日期 修改人 修改说明
* ------------------------------------------
* V1.0.0 2023/03/29 CHY 初版
* ──────────────────────────────────────────
*/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface Annotation {
boolean isTrue() default true;
}
/**
* 功能: 对模糊查询字段进行处理
*
* ──────────────────────────────────────────
* version 变更日期 修改人 修改说明
* ------------------------------------------
* V1.0.0 2023/03/29 CHY 初版
* ──────────────────────────────────────────
*/
@Target({ElementType.FIELD,ElementType.PARAMETER})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface EncryptField {
String [] values() default "";
}
import cn.hutool.core.util.ObjectUtil;
import com.chy.exception.BusinessException;
import com.chy.Interceptor.annotation.Annotation;
import com.chy.Interceptor.annotation.EncryptField;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.Signature;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.aspectj.lang.annotation.Pointcut;
import org.aspectj.lang.reflect.MethodSignature;
import org.springframework.stereotype.Component;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
/**
* 功能: Mybatis特殊字符处理切面
*
* ──────────────────────────────────────────
* version 变更日期 修改人 修改说明
* ------------------------------------------
* V1.0.0 2023/03/29 CHY 初版
* ──────────────────────────────────────────
*/
@Component
@Aspect
public class MybatisSpecialCharactersAspect {
@Pointcut(value = "@annotation(com.chy.Interceptor.annotation.Annotation)")
public void execyteAspectj() {
}
@Around(value = "execyteAspectj();")
public Object around(ProceedingJoinPoint joinPoint) throws Throwable {
Signature signature = joinPoint.getSignature();
if (!(signature instanceof MethodSignature)) {
throw new BusinessException("user permission check fail,stop this request!");
}
Object proceed;
MethodSignature methodSignature = (MethodSignature) signature;
Object target = joinPoint.getTarget();
Method declaredMethod = target.getClass().getDeclaredMethod(methodSignature.getName(), methodSignature.getParameterTypes());
Annotation annotation = declaredMethod.getAnnotation(Annotation.class);
if (ObjectUtil.isNull(annotation) || !annotation.isTrue()) {
return proceed = joinPoint.proceed();
} else {
Object[] args = joinPoint.getArgs();
for (Object param : args) {
if (ObjectUtil.isNotEmpty(param)) {
Field[] declaredFields = param.getClass().getDeclaredFields();
for (Field filed : declaredFields) {
boolean annotationPresent = filed.isAnnotationPresent(EncryptField.class);
if (annotationPresent) {
filed.setAccessible(true);
Object o = filed.get(param);
if (o == null) {
continue;
}
filed.set(param, o.toString().replaceAll("/", "//").replaceAll("%", "/%").replaceAll("_", "/_"));
}
}
}
}
proceed = joinPoint.proceed();
}
return proceed;
}
}
1、user类的name字段上使用 @EncryptField 注解
class User{
@EncryptField
private String name;
}
2、查询方法加上@Annotation注解
@Annotation
public PageInfo<UserVo> selectUserPage(User user) {
}
3、在Mapper文件需要如下编码
<!-- 姓名 -->
<if test="name !=null and name !='' and name !='null'">
NAME LIKE CONCAT('%',CONCAT(#{condition.name},'%')) escape '/'
</if>