JSqlParser如何设置自动检测并报错未支持的SQL特性?
- 内容介绍
- 文章标签
- 相关推荐
本文共计901个文字,预计阅读时间需要4分钟。
简单改写伪原创以下开头内容,不要试图图解问题,不要啰嗦,不超过100字,直接输出结果:
本文介绍如何通过自定义 visitor adapter,在 jsqlparser 中对未显式支持的 sql 语法(如 insert、group by、having 等)主动抛出异常,从而严格限制仅允许解析预设的极小子集。
JSqlParser 默认提供的 *VisitorAdapter(如 StatementVisitorAdapter、ExpressionVisitorAdapter)采用“空实现”策略:每个访问方法体为空,即对未覆盖的方法静默忽略。这虽便于快速上手,但在构建轻量级专用数据库时极易导致非法语句被意外跳过——例如用户输入 INSERT INTO ... 却无任何提示,系统误判为合法查询。
要实现严格白名单式解析,核心思路是:替换默认 Adapter,改用“失败优先”(fail-fast)实现。具体做法如下:
- 继承标准 Visitor 接口(非 Adapter),并手动实现所有方法;
- 每个方法默认抛出 UnsupportedOperationException,附带清晰的 SQL 元素类型与位置信息;
- 仅对明确支持的节点类型,才覆写对应方法并添加业务逻辑。
以下是一个精简示例,针对仅支持 SELECT ... FROM ... WHERE ... = ... 的场景:
public class StrictSelectVisitor implements StatementVisitor, ExpressionVisitor { @Override public void visit(Select select) { select.getSelectBody().accept(this); } @Override public void visit(PlainSelect plainSelect) { plainSelect.getSelectItems().forEach(item -> item.accept(this)); plainSelect.getFromItem().accept(this); if (plainSelect.getWhere() != null) { plainSelect.getWhere().accept(this); } // 显式禁止 GROUP BY / HAVING / ORDER BY / LIMIT if (plainSelect.getGroupBy() != null) { throw new UnsupportedOperationException("GROUP BY is not supported"); } if (plainSelect.getHaving() != null) { throw new UnsupportedOperationException("HAVING clause is not supported"); } if (plainSelect.getOrderByElements() != null && !plainSelect.getOrderByElements().isEmpty()) { throw new UnsupportedOperationException("ORDER BY is not supported"); } } @Override public void visit(Column column) { // 允许列引用 } @Override public void visit(EqualsTo equalsTo) { equalsTo.getLeftExpression().accept(this); equalsTo.getRightExpression().accept(this); } // ⚠️ 关键:所有其他方法均抛出异常 @Override public void visit(Insert insert) { throw unsupported("INSERT"); } @Override public void visit(Update update) { throw unsupported("UPDATE"); } @Override public void visit(Delete delete) { throw unsupported("DELETE"); } @Override public void visit(AndExpression andExpression) { andExpression.getLeftExpression().accept(this); andExpression.getRightExpression().accept(this); } // 其他表达式/语句方法同理... private RuntimeException unsupported(String feature) { return new UnsupportedOperationException("SQL feature not allowed: " + feature); } }
使用时,直接将该 visitor 应用于解析后的 AST:
CCJSqlParser parser = new CCJSqlParser(new StringReader(sql)); Statement stmt = parser.Statement(); stmt.accept(new StrictSelectVisitor()); // 若含不支持语法,此处立即抛异常
✅ 优势总结:
- 完全掌控支持边界,避免隐式忽略带来的逻辑漏洞;
- 异常堆栈可精准定位到 AST 节点类型,便于调试与维护;
- 无需修改 JSqlParser 源码,符合开闭原则。
⚠️ 注意事项:
- 需定期同步 JSqlParser 新版本中新增的 Visitor 方法(可通过 IDE 提示或查看 *Visitor 接口变更);
- 对复合结构(如 Function, CaseExpression),若部分子节点需支持、部分禁止,应在对应 visit() 方法内做细粒度判断,而非全局禁用;
- 建议配合单元测试,覆盖所有预期拒绝的 SQL 样例(如 "INSERT ..."、"SELECT * FROM t GROUP BY x"),确保策略生效。
通过此方式,JSqlParser 不再是“尽力而为”的通用解析器,而是成为你专属 SQL 子集的可靠守门人。
本文共计901个文字,预计阅读时间需要4分钟。
简单改写伪原创以下开头内容,不要试图图解问题,不要啰嗦,不超过100字,直接输出结果:
本文介绍如何通过自定义 visitor adapter,在 jsqlparser 中对未显式支持的 sql 语法(如 insert、group by、having 等)主动抛出异常,从而严格限制仅允许解析预设的极小子集。
JSqlParser 默认提供的 *VisitorAdapter(如 StatementVisitorAdapter、ExpressionVisitorAdapter)采用“空实现”策略:每个访问方法体为空,即对未覆盖的方法静默忽略。这虽便于快速上手,但在构建轻量级专用数据库时极易导致非法语句被意外跳过——例如用户输入 INSERT INTO ... 却无任何提示,系统误判为合法查询。
要实现严格白名单式解析,核心思路是:替换默认 Adapter,改用“失败优先”(fail-fast)实现。具体做法如下:
- 继承标准 Visitor 接口(非 Adapter),并手动实现所有方法;
- 每个方法默认抛出 UnsupportedOperationException,附带清晰的 SQL 元素类型与位置信息;
- 仅对明确支持的节点类型,才覆写对应方法并添加业务逻辑。
以下是一个精简示例,针对仅支持 SELECT ... FROM ... WHERE ... = ... 的场景:
public class StrictSelectVisitor implements StatementVisitor, ExpressionVisitor { @Override public void visit(Select select) { select.getSelectBody().accept(this); } @Override public void visit(PlainSelect plainSelect) { plainSelect.getSelectItems().forEach(item -> item.accept(this)); plainSelect.getFromItem().accept(this); if (plainSelect.getWhere() != null) { plainSelect.getWhere().accept(this); } // 显式禁止 GROUP BY / HAVING / ORDER BY / LIMIT if (plainSelect.getGroupBy() != null) { throw new UnsupportedOperationException("GROUP BY is not supported"); } if (plainSelect.getHaving() != null) { throw new UnsupportedOperationException("HAVING clause is not supported"); } if (plainSelect.getOrderByElements() != null && !plainSelect.getOrderByElements().isEmpty()) { throw new UnsupportedOperationException("ORDER BY is not supported"); } } @Override public void visit(Column column) { // 允许列引用 } @Override public void visit(EqualsTo equalsTo) { equalsTo.getLeftExpression().accept(this); equalsTo.getRightExpression().accept(this); } // ⚠️ 关键:所有其他方法均抛出异常 @Override public void visit(Insert insert) { throw unsupported("INSERT"); } @Override public void visit(Update update) { throw unsupported("UPDATE"); } @Override public void visit(Delete delete) { throw unsupported("DELETE"); } @Override public void visit(AndExpression andExpression) { andExpression.getLeftExpression().accept(this); andExpression.getRightExpression().accept(this); } // 其他表达式/语句方法同理... private RuntimeException unsupported(String feature) { return new UnsupportedOperationException("SQL feature not allowed: " + feature); } }
使用时,直接将该 visitor 应用于解析后的 AST:
CCJSqlParser parser = new CCJSqlParser(new StringReader(sql)); Statement stmt = parser.Statement(); stmt.accept(new StrictSelectVisitor()); // 若含不支持语法,此处立即抛异常
✅ 优势总结:
- 完全掌控支持边界,避免隐式忽略带来的逻辑漏洞;
- 异常堆栈可精准定位到 AST 节点类型,便于调试与维护;
- 无需修改 JSqlParser 源码,符合开闭原则。
⚠️ 注意事项:
- 需定期同步 JSqlParser 新版本中新增的 Visitor 方法(可通过 IDE 提示或查看 *Visitor 接口变更);
- 对复合结构(如 Function, CaseExpression),若部分子节点需支持、部分禁止,应在对应 visit() 方法内做细粒度判断,而非全局禁用;
- 建议配合单元测试,覆盖所有预期拒绝的 SQL 样例(如 "INSERT ..."、"SELECT * FROM t GROUP BY x"),确保策略生效。
通过此方式,JSqlParser 不再是“尽力而为”的通用解析器,而是成为你专属 SQL 子集的可靠守门人。