用 mybatis 不清楚，用 spring security+spring data jpa 有这个查询增加条件和结果集检查功能，但只是看文档中有，没有实践过，不知道对性能有多少影响。但如果用到 spring security 的话，可以看看 spring security 的文档，在 mybatis 中能不能实现。

我前端啊，后端不懂。有个小小问题，权限是不是应该在查询之前，在代码逻辑中就给拦截了？（我可完全不懂啊，问错了不要笑话我）

第一种就行了，数据库没你想象的那么脆弱，一个是要注意覆盖索引，另一个是分页或者说限制一次能查询的数量

@cnhongwei #1 好的，感谢

我们是加了个 middleware,所有请求经过中间件，都会判断是否要加这个 period 条件判断，如果是就注入到 query 里，然后拼装 sql 的地方，会解析这个 period

@Musong #2 你说的没问题，部分请求中存在这个参数，确实可以在查询之前进行拦截。但是吧，有部分情况是，比如和描述中一样，select * from table a where id = 'xxx'。这个时候我并不知道查询出来的数据的 period 是啥。还得查出在之后再进行校验看看是不是合法数据。不过这个方法可行，确实可以加两层，前面先过滤掉一批，这样可以适当的减轻数据库的压力

我也不懂后端, 这个应该和用户权限校验走一起的逻辑吧, 在用户权限校验处加一个操作权限判断, 这样以后还有其他的新控制字段也可以再加入

@paopjian #7 是的，从代码设计上来说没问题。但是我们目前的系统为了偷懒，允许前端通过构建类似于 SQL 查询条件的方式，直接请求通用接口查询数据库中的数据，可以直接跳过对应字段的校验。但是已经是一坨了，只能往上面再来一坨了

在代码层加这种判断有点不太好，如果后期继续加权限逻辑岂不是得改很多。如果有使用 ORM 的话，适当改装一下 ORM ，业务层面通过 ORM 操作，对于本来业务的侵入会比较少。

1. 逻辑上应该是第一种，第二种的话，分页查询如果查询之后过滤可能出现为空的问题，导致缺页；
2. 数据量如果百万以下，不用考虑太多，直接操作就行

@dong568789 #5 这个 idea 很好，和我的第一种想法类似，不过你的可能更加完善。我验证一下这个方法在我们代码中的可行性

@leejinhong #9 这个需求是针对系统的需求，和业务无关，最终实现肯定是在一个 ORM 层进行实现，并不是在每个业务实现类中进行操作

我也做过类似的需求，就是采用的第一种方法。如果担心性能的话，是不是可以考虑新增一个“是否可操作”的字段，来维护。
代价就是管理员开放指定 period 的时候需要去批量更新这个字段。

可考虑使用布隆过滤器或 redis 做前置条件验证。

新建一个 视图 ，在视图里面查询

Mybatis 插件动态添加 period 字段的筛选

之前写的<=的逻辑, 只处理了删改查你可以试试改成 in,
```java
@Slf4j
public class Demo extends JsqlParserSupport implements InnerInterceptor {

@Override
public void beforePrepare(
StatementHandler sh, Connection connection, Integer transactionTimeout) {
PluginUtils.MPStatementHandler mpSh = PluginUtils.mpStatementHandler(sh);
MappedStatement ms = mpSh.mappedStatement();
SqlCommandType commandType = ms.getSqlCommandType();

if (commandType == SqlCommandType.SELECT || commandType == SqlCommandType.UPDATE || commandType == SqlCommandType.DELETE) {
mpSh.mPBoundSql().sql(parserMulti(mpSh.mPBoundSql().sql(), null));
}
}

@Override
protected void processSelect(Select select, int index, String sql, Object obj) {
PlainSelect plainSelect = (PlainSelect) select.getSelectBody();
MinorThanEquals minorThanEquals = getMinorThanEquals();
Expression where = plainSelect.getWhere();
plainSelect.setWhere(
where == null ? minorThanEquals : new AndExpression(where, minorThanEquals));
}

@Override
protected void processUpdate(Update update, int index, String sql, Object obj) {
....
}

@Override
protected void processDelete(Delete delete, int index, String sql, Object obj) {
....
}

@NotNull
private static MinorThanEquals getMinorThanEquals() {
MinorThanEquals minorThanEquals = new MinorThanEquals();
minorThanEquals.setLeftExpression(new Column("column_name"));
minorThanEquals.setRightExpression(new LongValue(4));
return minorThanEquals;
}
}
```

就算是 1 也没必要 select *吧？只要 select count （*）是不是就能满足业务需要了？

@andy2415 #12 另外, mybatisplus 拦截器初始化顺序要 注意添加再分页的后面, 不然分页查询会有问题

@Morii #18 最终的数据要进行后续的操作，如前端展示，那这个时候需要的不只是数据条数了，count 还不够吧