Sqltoy 5.6.46版本发布：增强SQL注入防护与循环处理能力

Sqltoy是一个优秀的ORM框架，以其简洁的API和强大的动态SQL能力著称。最新发布的5.6.46版本带来了几项重要改进，特别是在SQL注入防护和循环处理方面有了显著增强，这些改进将帮助开发者编写更安全、更高效的数据库操作代码。

非注入循环处理增强

在动态SQL构建中，循环处理是一个常见需求。5.6.46版本引入了两种新的循环处理方式：

1. @secure-loop：自动过滤循环中的null记录，确保循环处理更加安全可靠
2. @secure-loop-full：保留所有记录，包括null值，提供更完整的循环处理能力

这两种循环方式可以完美替代传统的循环拼接方式，特别是在与@value参数和valid-sqlInjection校验组合使用时，能够显著提升代码的安全性。

-- 使用示例
selet * from table t1
where 1=1 #[(@secure-loop(:nameList ,' t1.name like :nameList[i] ',' or '))]

对于需要参数替换的场景，可以结合@value使用：

String sql = """
    selet * from table t1
    where 1=1 #[@secure-loop(:nameList ,' t1.name like @value(:nameList[i]) and t.status=:status',' or ')]
    """;

字段级更新功能

新版本增加了针对特定字段的更新功能，这在只需要更新部分字段时特别有用，可以减少不必要的数据库操作：

// 更新单个实体的指定字段
lightDao.update().updateFields(field1,field2).one(entitiy);

// 批量更新多个实体的指定字段
lightDao.update().updateFields(field1,field2).many(entities);

强大的SQL注入防护机制

安全是数据库操作的重中之重，5.6.46版本引入了全面的SQL注入校验功能：

<sql id="show_case">
<filters>
    <!-- 针对@loop和@value中的参数进行SQL注入校验 -->
    <!-- 校验级别分为三种：
         STRICT_WORD: 只允许数字、字符和下划线
         RELAXED_WORD: 宽松的单词格式(允许点号、@、#、中文等非危险性符号)
         SQL_KEYWORD: 校验SQL关键词(select、drop、limit等) -->
    <valid-sqlInjection params="productIds" level="STRICT_WORD"/>
</filters>
</sql>

此外，开发者还可以通过配置自定义SQL关键词的正则表达式：

spring.sqltoy.sqlInjectionRegexes[0]=自定义正则表达式
spring.sqltoy.sqlInjectionRegexes[1]=自定义正则表达式

版本兼容性

新版本提供了对不同环境的支持：

• 基础库：sagacity-sqltoy (5.6.46)
• SpringBoot集成：sagacity-sqltoy-spring-starter (5.6.46)
• Solon框架插件：sagacity-sqltoy-solon-plugin (5.6.46)

对于仍在使用JDK8的用户，可以使用对应的.jre8后缀版本。

总结

Sqltoy 5.6.46版本的这些改进，特别是SQL注入防护机制的增强，使得这个ORM框架在安全性和易用性方面又上了一个新台阶。开发者现在可以更轻松地编写安全的动态SQL，同时享受更灵活的字段更新和更强大的循环处理能力。这些特性使得Sqltoy成为企业级应用中处理复杂数据库操作的理想选择。