MyBatis-Plus——SQL注入器

原创 于 2025-08-12 19:18:28 发布 · 850 阅读 · 10 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#mybatis

MyBatis-Plus的SQL注入器其实是一种“扩展工具包”机制——当BaseMapper提供的默认方法(如selectById、deleteById)不够用时,我们可以通过它自定义通用方法,让所有Mapper接口都能直接使用。这里提供一个案例:自定义一个“删除表中所有数据”的deleteAll方法,用“工具箱”的比喻一步步拆解。

一、先理解核心需求:为什么需要自定义deleteAll?

MyBatis-Plus的BaseMapper虽然提供了很多基础方法,但没有“删除全表数据”的deleteAll方法(可能是为了安全,避免误操作)。如果多个表都需要“删除全表”功能,总不能在每个Mapper里重复写SQL吧?

这时候就需要SQL注入器:把deleteAll定义成“全局通用方法”,让所有继承BaseMapper的接口(比如StudentMapper、UserMapper)都能直接调用,不用重复开发。

二、逐步拆解:每个类的作用

1. 自定义方法类(DeleteAll):定义“具体工具”

// 注入方法类:相当于定义一个"删除全表"的工具
public class DeleteAll extends AbstractMethod {
  @Override
  public MappedStatement injectMappedStatement(Class<?> mapperClass, Class<?> modelClass, TableInfo tableInfo) {
    // 1. 定义要执行的SQL:delete from 表名(表名通过tableInfo获取,自动适配不同表)
    String sql = "delete from " + tableInfo.getTableName();
    
    // 2. 定义方法名:和Mapper接口中声明的方法名一致(这里是deleteAll)
    String method = "deleteAll";
    
    // 3. 构建SqlSource:MyBatis中用于传递SQL的对象
    SqlSource sqlSource = this.languageDriver.createSqlSource(this.configuration, sql, modelClass);
    
    // 4. 构建删除类型的MappedStatement(MyBatis执行SQL的核心对象)
    return this.addDeleteMappedStatement(mapperClass, method, sqlSource);
  }
}

作用:这是“具体工具的设计图”,定义了deleteAll方法要执行的SQL(删除全表)、方法名,以及如何生成MyBatis能识别的执行对象(MappedStatement)。

继承AbstractMethod的原因:MyBatis-Plus通过AbstractMethod统一管理方法生成逻辑,我们只需按照它的规范实现即可。

2. SQL注入器(MySqlInject):将“工具”放入“公共工具箱”

// SQL自动注入器:相当于把自定义工具放到所有Mapper都能访问的公共工具箱
@Component
public class MySqlInject extends AbstractSqlInjector {
  @Override
  public List<AbstractMethod> getMethodList(Class<?> mapperClass, TableInfo tableInfo) {
    List<AbstractMethod> methods = new ArrayList<>();
    // 把自定义的DeleteAll方法添加到方法列表中
    methods.add(new DeleteAll()); 
    return methods;
  }
}

作用:注入器的职责是“收集所有自定义方法”,并在MyBatis-Plus启动时,将这些方法注入到所有继承BaseMapper的接口中。

简单说:没有注入器,DeleteAll方法只是一个孤立的类;有了注入器,它会告诉MyBatis-Plus:“把deleteAll方法加到所有Mapper里,让它们都能用”。

3. 在Mapper接口中声明方法:“告诉工具箱要用这个工具”

// StudentMapper:具体的工具箱,继承BaseMapper后,自动获得基础工具+注入的自定义工具
public interface StudentMapper extends BaseMapper<Student> {
  // 声明deleteAll方法(无需实现,因为注入器已经帮我们生成了实现)
  void deleteAll();
}

为什么只声明不实现?
因为DeleteAll类已经通过注入器生成了对应的SQL和执行逻辑,这里只是“告诉MyBatis:我要用这个方法”,实际执行时会找到注入器生成的实现。

4. 注销BlockAttackInnerInterceptor插件:“暂时关闭安全锁”

@Bean
public MybatisPlusInterceptor mybatisPlusInterceptor() {
  MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor();
  interceptor.addInnerInterceptor(new PaginationInnerInterceptor(DbType.MYSQL));
  // 注释掉防全表删除插件:因为deleteAll就是全表删除,会被它拦截
  // interceptor.addInnerInterceptor(new BlockAttackInnerInterceptor()); 
  interceptor.addInnerInterceptor(new OptimisticLockerInnerInterceptor());
  return interceptor;
}

原因:BlockAttackInnerInterceptor是MyBatis-Plus的“安全插件”,会拦截全表删除/更新(防止误操作)。而我们的deleteAll就是要全表删除,所以需要暂时注释掉,否则会执行失败。

5. 测试方法:“使用工具”

@Test
public void testDeleteAll() {
  // 直接调用StudentMapper中的deleteAll方法
  studentMapper.deleteAll();
}

此时调用的deleteAll,就是我们通过注入器自定义的全表删除方法。

三、完整执行流程:从启动到调用

用“工具箱准备→使用工具”的流程理解:

  1. 启动阶段:准备工具箱

    • 项目启动时,Spring会加载MySqlInject(因为加了@Component);
    • MySqlInject的getMethodList方法被调用,返回包含DeleteAll的方法列表;
    • MyBatis-Plus会根据这些方法,为所有继承BaseMapper的接口(如StudentMapper)生成对应的实现逻辑(即MappedStatement,包含SQL和执行方式);
    • 最终,StudentMapper不仅有BaseMapper的默认方法,还多了deleteAll方法。

  2. 调用阶段:使用工具

    • 执行studentMapper.deleteAll()时,MyBatis会找到注入器生成的MappedStatement;
    • 执行其中定义的SQL:delete from student(表名由TableInfo自动获取,对应Student实体类的表);
    • 数据库执行全表删除,完成操作。

四、总结

SQL注入器就像“全局工具注册中心”:

  • 自定义方法类(DeleteAll)是“工具的设计图”,定义了工具的功能(执行什么SQL);
  • 注入器(MySqlInject)是“工具管理员”,把工具分发到所有Mapper的“工具箱”里;
  • Mapper接口声明方法是“告诉管理员要用这个工具”;
  • 最终,我们可以在任何Mapper中直接使用这个工具(调用方法)。

这种机制的好处是:一次定义,到处使用,避免重复开发通用方法。

Mybatis-Plus 自定义SQL注入器,非常实用!
m0_71777195的博客
06-04 3108
我们在使用Mybatis-Plus时,dao层都会去继承BaseMapper接口,这样就可以用BaseMapper接口所有的方法,BaseMapper中每一个方法其实就是一个SQL注入器Mybatis-Plus的核心(core)包下,提供的默认可注入方法有这些:那如果我们想自定义SQL注入器呢,我们该如何去做?比如在Mybatis-Plus中调用updateById方法进行数据更新默认情况下是不能更新空值字段的。而在实际开发过程中,往往会遇到需要将字段值更新为空值的情况。
MybatisPlusSql 注入器
凉茶铺的博客
06-14 2029
我们已经知道,在MP中,通过AbstractSqlInjector将BaseMapper中的方法注入到了Mybatis容器,这样这些方法才可以正常执⾏。那么,如果我们需要扩充BaseMapper中的⽅法,⼜该如何实现呢?下⾯我们以扩展findAll⽅法为例进行学习。 其他的Mapper都可以继承该Mapper,这样实现了统⼀的扩展。如: 如果直接继承AbstractSqlInjector的话,原有的BaseMapper中的⽅法将失效,所以我们选择继承DefaultSqlInjector进行扩展。
巧用MybatisPlusSQL注入器提升批量插入性能
战斧的博客
05-20 1万+
上一次我们给大家详细讲解 MybatisPlus 的条件构造器wrapper。这次我们来讲另一个开发者需要了解的功能——SQL注入器,并以实战视角讲述如何利用该特性提升MybatisPlus 的批量插入性能
【第24章】MyBatis-PlusSQL注入器
zjg
07-09 2896
MyBatis-Plus 提供了灵活的机制来注入自定义的 SQL 方法,这通过全局配置实现。通过实现接口或继承抽象类,你可以注入自定义的通用方法到MyBatis容器中。SQL注入器允许开发者扩展和定制SQL语句的生成,以适应特定的业务逻辑和查询需求。首先,你需要定义自定义方法的SQL语句。这通常在继承了的类中完成,例如。@Override// 定义SQL语句// 第三个参数必须和baseMapper的自定义方法名一致接下来,你需要创建一个类来继承,并重写方法来注册你的自定义方法。
MybatisPlus如何解决SQL注入(必看)
海的那边,还是海吗
09-22 1万+
在深入讨论如何防止 SQL 注入之前,让我们首先了解 SQL 注入攻击的工作原理。SQL 注入攻击通常发生在接受用户输入的地方,例如搜索框、登录表单等,攻击者试图在输入中注入恶意 SQL 代码。SELECT * FROM users WHERE username = '输入的用户名' AND password = '输入的密码';如果攻击者输入这将使查询始终返回所有用户的记录,因为'1'='1'始终为真。攻击者可以通过这种方式绕过身份验证,获取或修改敏感数据。
Mybatis-Plus 注入 SQL 原理分析
养歌的博客
06-01 3442
MyBatis-Plus 是一个 MyBatis 的增强工具,在 MyBatis 的基础上只做增强不做改变,为简化开发、提高效率而生。那么 MyBatis-Plus 是怎么加强的呢?其实就是封装好了一些 crud 方法,开发人员不需要再写 SQL 了,间接调用方法就可以获取到封装好的 SQL 语句。特性:下面我们先从一个简单的 demo 入手,来感受一下 MyBatis-plus 的便捷性。 实体类对象 UserMapper 继承 BaseMapper 接口 测试 最终查询的 SQL 语句如下图: 从
Mybatis-Plus通过SQL注入器实现真正的批量插入
弹指天下
07-06 2659
介绍在Mybatis-Plus中如何通过SQL注入器实现真正的批量插入
Mybatis-Plus SQL注入器的使用
qq_42682745的博客
01-27 6281
Mybatis-Plus SQL注入器 今天看Mybatis-plus官网发现了这个SQL注入器,感觉以后有机会用上,记录一手。 重要的话说前面:MP的官网确实不友好,但是他们将示例代码都放在了gitee上:https://gitee.com/baomidou/mybatis-plus-samples/tree/master/mybatis-plus-sample-deluxe 里面基本都有示例代码,可拉取下来找些博客对着看 两篇不错的博客: 参考:Mybatis-Plus的应用场景及注入SQL原理分析 参
mybtispubls插件sql注入
laozhang338的博客
02-06 713
最近在代码审计案例复现中遇到一个sql注入漏洞感觉比较有意思,拿出来和大家一块分享一下。在奇安信攻防社区看到的en0th师傅的文章https://forum.butian.net/share/2465,其中提到了一个分页插件导致的sql注入漏洞。tkswifty师傅也对这个漏洞有了一个详细的解释https://www.sec-in.com/article/1088。
Mybatis-plus sql注入以及防止sql注入
热门推荐
sunrj_niu的博客
05-26 1万+
Mybatis-plus sql注入 一、SQL注入是什么? SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的SQL语句中来改变查询结果,例如: OR 1=1 或者 ;drop table sys_user;等等 二、mybatis是如何做到防止sql注入的 mybatis中我们所写的sql语句都是在xml只能完成,我们在编写sql会用到 #{},${} 这个两个表达式。那 #{} 和 ${}两者之间有什么区别嘞?下面我将用两个SQL语句例子来进行说明。 <sele
MybatisPlus存在 sql 注入漏洞(CVE-2023-25330)解决办法
dmlcq的博客
08-02 7279
MyBatis-Plus TenantPlugin 3.5.3.1及之前版本由于 TenantHandler#getTenantId 方法在构造 SQL 表达式时默认情况下未对 tenant(租户)的 ID 值进行过滤,当程序启用了 TenantPlugin 并且 tenant(租户)ID 可由外部用户控制时,攻击者可利用该漏洞进行 sql 注入,接管程序的数据库或向操作系统发送恶意命令。用户可通过对租户 ID 进行过滤缓解此漏洞。
MyBatis-Plussql注入器
weixin_46278059的博客
12-09 1557
MyBatis-Plussql注入器
SQL注入与安全问题:如何避免在 MyBatis-Plus 中出现 SQL 注入漏洞?
最新发布
一碗黄焖鸡三碗米饭的博客
04-15 1892
SQL 注入(SQL Injection)是一种攻击技术,攻击者通过将恶意的 SQL 语句插入到应用程序的输入中,从而改变原有的 SQL 查询逻辑。由于动态拼接 SQL 语句时未对输入参数进行过滤和校验,攻击者就能够执行任意 SQL 操作,甚至能够获取、修改或删除数据库中的数据。使用 MyBatis-Plus 的Wrapper对象:避免手动拼接 SQL,使用安全的参数化查询。参数化查询:通过预编译的方式,将用户输入作为参数传递给数据库,避免 SQL 注入。开启 MyBatisSQL 注入防护功能。
深度剖析Mybatis-plus Injector SQL注入器
Java是世界上最好的语言
05-18 3744
深度剖析Mybatis-plus Injector SQL注入器
MybatisPlus深入使用指南】mybatisplus创建自定义方法sql注入器,批量操作详细(涵盖主键生成)
各位多多关照
01-26 1663
*** 新增分页拦截器,并设置数据库类型为pgsql* @return*/@Bean@Bean/*** 自定义方法SQL注入器*//*** 如果只需增加方法,保留mybatis plus自带方法,* 可以先获取super.getMethodList(),再添加add*/@Override我写了四个sql注入的类,有更新的,插入的,插入或更新的(根据唯一索引进行判断),接下来,就分别展示一下;/*** 自定义批量插入。
MybatisPlus----SQL注入器提升批量插入性能,从零基础到精通,收藏这篇就够了!
wananxuexihu的博客
03-21 1019
首先我们要自定义一个方法,因为Mysql 和 Oracle 的批量插入样式不一样,所以理论上要写两个方法,但实际上MybatisPlus 针对 Mysql 已经有了一个内置方法 InsertBatchSomeColumn,所以我们只需要针对 Oracle 自定义方法即可 继承自·AbstractMethod// oracle 批量插入的格式// 字段筛选条件@Setter@Override//表包含主键处理逻辑,如果不包含主键当普通字段处理/* 自增主键 */
mybatis-plusSQL注入器
努力是为了让自己不平庸。。。
03-24 699
本文介绍了SQL注入器,在原有的BaseMapper上扩展新的方法。
MyBatis-Plus自定义sql注入器
dongdong199033的博客
07-29 760
在日常开发过程中,我们可能会发现 MyBatis-Plus 提供的那些自带的 sql 语句无法满足我们的开发需求,想要加一些自定义的 sql,而且要应用于所有的 Mapper 上,需要怎么实现呢?官方文档地址:https://baomidou.com/pages/42ea4a/编写一个自定义 sql 类,要继承类,然后实现其方法来定义 sql 语句并加入到里,也可以重写getMethod方法来修改方法名。ps:这里以。
MyBatis-Plus 框架 QueryWrapper UpdateWrapper 方法修复sql注入漏洞事件
曼陀罗的博客
09-06 1732
一般来说,通过上面的处理就可以避免 SQL 注入攻击了,如果您还不放心,可以使用 MyBatis-Plus 提供的工具类 SqlInjectionUtils.check(内容) 来验证字符串是否存在 SQL 注入,如果存在则会抛出对应的异常,如果是真正的漏洞问题,我们一定积极修正,但是上面两个如此低级的错误,在没跟我们预先进行沟通的情况下,直接提交了 CVE 漏洞申请,很难让我们相信这些漏洞是好心人善意的提醒,在我们看来,这就是存粹的坏心思。该“漏洞”也是前端端传入 SQL 片段 导致 SQL 注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值