^-^
Lavie 的个人博客,记录了许多自己的生活感悟和计算机专业知识,不太靠谱,希望能让你有所收获。
JSQLParser 以及访问者设计模式实现SQL语句的子句拦截与审核逻辑
最近更新:2024-11-15   |   字数总计:1.1k   |   阅读估时:4分钟   |   阅读量:
  1. JSQLParser 简介
  2. 访问者设计模式
  3. 实现方案
    1. 1. 创建 SQLStmtVisitor 接口
    2. 定义 Select 访问者的访问接口
    3. 3. 其中一个实现类,用于实现 Select 语句的访问者
    4. 3. 实现 Create 语句的访问者
    5. 总结

在现代软件开发中,SQL语句的安全性和有效性至关重要。使用开源组件 JSQLParser 结合访问者设计模式,可以实现对 SQL 语句的有效拦截与审核。本文将介绍如何利用这一架构实现 SQL 语句中的特定约束。

JSQLParser 简介

JSQLParser 是一个用于解析 SQL 语句的 Java 库。它可以将 SQL 语句转化为 Java 对象,使得我们可以对 SQL 语句进行程序化处理,如检查、修改和重写等。

访问者设计模式

访问者设计模式是一种行为设计模式,它允许你在不改变数据结构的情况下,向其添加新的操作。它通过将操作封装在访问者类中,提供了一个灵活的方式来处理复杂对象结构的操作。

实现方案

1. 创建 SQLStmtVisitor 接口

我们首先定义一个 SQLStmtVisitor 接口,该接口用于处理各类 SQL 语句。其定义如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
/**
 * 该接口用于访问SQL语句,分为几类:
 * 1. 对数据进行操作:分为 Select、Insert、Update、Delete 各个语句
 * 2. 对表、索引等进行操作:分为 Create、Alter、Drop 各个语句
 * 3. MySQL 本身的数据库配置语句,比如 Show tables; Use db
 * <p>
 * 其中,必须满足应用的泛型 T 是Statement 的子类
 *
 * @param <T> 应用的泛型(譬如:Select、CreateTable等)
 * @author shuilangl
 */
public interface SQLStmtVisitor<T extends Statement> {

    /**
     * 参见 Visitor Pattern 访问者设计模式,当不满足自定义规则时,返回false表示该配置项不通过。
     *
     * @param statement 对应的泛型类对象,用于具体的访问逻辑与判断(见 isValid 方法)
     */
    void visit(T statement);

    /**
     * 判断该配置项是否通过
     *
     * @return true:通过;false:不通过
     */
    boolean isValid();
}

定义 Select 访问者的访问接口

1
2
3
4
5
6
7
8
9
10
11
12
13
/**
 * 该访问者用于 Select 语句,继承该接口的都隶属于这种语句。譬如:
 * 1) 查询字段不能为 *
 * 2) 查询时,必须带where条件
 * 3) 查询时,必须带limit条件
 *
 * @author shuilang
 * @see SelectAllColumnCheckVisitor 为其示例子类,用于检查是否存在*查询所有字段
 * @since 2024/08/14
 */
public interface SelectDataVisitor extends SQLStmtVisitor<Select> {

}

在这个接口中,我们定义了一个访问方法和一个验证方法,以便遵循访问者设计模式。

3. 其中一个实现类,用于实现 Select 语句的访问者

接下来,我们实现 SelectDataVisitor 接口,用于处理 Select 语句的验证逻辑。例如,我们可以实现一个访问者来检查查找语句中是否包含不允许的通配符 *

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
/**
 * 该常量类用于检查 Select 语句中是否含有 * 所有字段,如果不满足,则会将其 isValid 字段设置为 false;
 *
 * @author shuilang
 * @since 2024-08-14
 */
@Slf4j
public final class SelectAllColumnCheckVisitor implements SelectDataVisitor {

    private boolean isValid = true;

    @Override
    public void visit(Select statement) {
        // TODO 如果字段中含有星号 则不允许
        List<SelectItem<?>> selectItems = statement.getPlainSelect().getSelectItems();
        for (SelectItem<?> selectItem : selectItems) {
            if (selectItem.toString().equals("*")) {
                log.error("SQL 配置匹配逻辑的 Select 语句中不能查询 * 所有字段!");
                isValid = false;
            }
        }
    }

    @Override
    public boolean isValid() {
        return isValid;
    }
}

这里,SelectAllColumnCheckVisitor 类实现了对 Select 语句的检查,确保 SQL 语句中不允许使用 * 符号来查询所有字段。

3. 实现 Create 语句的访问者

类似地,我们可以创建一个 CreateTableVisitor,用来验证创建表语句的表名是否为空:

对应的接口:

1
2
3
4
public interface CreateTableVisitor extends SQLStmtVisitor<CreateTable> {

}

实现类:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
/**
 * 该常量类用于验证 Create 语句中的表名是否为空
 *
 * @author shuilang
 * @since 2024-08-14
 */
@Slf4j
public final class CreateTableNameEmptyCheckVisitor implements CreateTableVisitor {

    private boolean isValid = true;

    @Override
    public void visit(CreateTable createTable) {
        if (StringUtils.isEmpty(createTable.getTable().getName())) {
            log.error("SQL 配置匹配逻辑的 Create 语句中的表名不能为空");
            isValid = false;
        }
    }

    @Override
    public boolean isValid() {
        return isValid;
    }
}

总结

通过利用 JSQLParser 和访问者设计模式,我们能够实现 SQL 语句的子句拦截与审核逻辑。此模式的灵活性不仅提高了代码的可维护性,也使得扩展新功能变得更加方便。

在项目中,开发者可以根据业务需求,自定义不同的访问者来实现更为复杂的 SQL 语句检查逻辑,从而有效地提高系统的安全性与稳定性。

2024-08-14 该篇文章被 Shuilang He 打上标签: 编程开发 归为分类: 编程开发

上一篇:如何在 Go 中使用 SSH 连接池提升系统性能与响应速度 下一篇:Relationships Are Hard, But Why
© 1949-2024 China
🌊落霞与孤鹜齐飞 秋水共长天一色🌊 本站由Hexo驱动|使用Hexo-theme-A4主题