有关javaweb项目中集成druid时有时会出现SQL注入的问题

最新推荐文章于 2024-03-08 10:46:46 发布
最新推荐文章于 2024-03-08 10:46:46 发布
阅读量643 收藏
点赞数
分类专栏: java 文章标签: java druid
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ght521/article/details/109802715
版权

有关durid 出现sql injection  exception的问题,说明是该有的值意外空了,导致和原有的SQL所表达的意思相悖,现象如下:

这里用的是Mybatis框架

sql语句:

update user
<set>
    <if test="status!=null and status!=''">
         status=#{status}
    </if>
</set>
where useruuid=#{useruuid}

页面中请求用了ajax方式

function save(num){
    var status = num=="2"?"3":num=="4"?"5":"";
    $.post("/common/commonupdate",{"status",status},function(data){
         alert(data.message);
         refresh();
    })
}

这里当status为空字符串时,druid框架就会拦截,并抛出sqj injection exception,sql注入异常,这时的SQL就变为了

update user where useruuid=? 曲解了整个sql要表达的意思,故durid认为是恶意的sql注入异常

总结:

结合上面的例子,可总结出,当我们遇到durid框架抛出的sql注入异常时,通常情况下都是因为该传入的参数变为空,导致整个sql改变了他原有的意思.以此记录,排坑日记

nightseventhunit
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用Druid实现应用,SQL监控和防SQL注入
IT爱好者
02-22 1万+
一、关于Druid Druid是一个JDBC组件,它包括三部分: DruidDriver 代理Driver,能够提供基于Filter-Chain模式的插件体系。 DruidDataSource 高效可管理的数据库连接池。 SQLParser Druid可以做什么? 1) 可以监控数据库访问性能,Druid内置提供了一个功能强大的St
网上订餐系统 javaweb项目 (完整源码)
03-15
这个项目对于学习JavaWeb开发的学生或者初学者来说,具有很高的参考价值,可以帮助他们理解和实践实际项目的各项技术。下面将详细介绍这个项目可能涉及的关键知识点。 1. **JavaWeb基础**:该项目的核心是JavaWeb...
使用druid连接池,配置sql防火墙发现的sql注入问题
每天迈出一小步!
08-13 9323
最近在使用druid连接池,同也配置了web和spring的关联监控,检测到select * from tables param like #{param1} “%”的语句被拦截了。做个笔记。解决方法有两种: 一、 select * from tables param like concat(${param1},”%”)。 二、传入 参数的候动态拼接 param1=param1+”%
mybatis SQL注入攻击
Neven的博客
10-13 744
SQL注入,大家都不陌生,是一种常见的攻击方式。攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如“or ‘1’=’1’”这样的语句),有可能入侵参数检验不足的应用程序。所以,在我们的应用需要做一些工作,来防备这样的攻击方式。在一些安全性要求很高的应用(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入。这当然是一种很安全的方式,但我们平开发,可能
JDBC入门&SQL注入测试&Druid连接池操作
hello world
08-13 861
JDBC入门教程
SQL注入检测模块开源项目DRUID-SQL-WALL学习小结
qq_33578832的博客
02-19 1903
  作为sql注入原理、sql注入检测、防御系列学习的第三篇。本文主要关注了抽象语法树ast在sql注入检测上的应用开发、以及开源项目druid-sql-wall的学习,希望能给研究这一领域的朋友带来一点帮助,同也希望能引发大家的共同讨论,共同学习、成长 上一篇文章,我们学习了其他数据库 防火墙的一些基本知识 http://www.makaidong.com/littlehann/p/...
基于JavaWeb的火车站售票系统源码+数据库sql+项目说明.zip
最新发布
05-20
7. **安全机制**:在实际应用,需要考虑用户认证和授权,防止SQL注入等安全问题。可能使用Spring Security或Apache Shiro等框架来实现。 8. **前端技术**:可能使用HTML、CSS和JavaScript构建用户界面,也可能...
javaWeb传智播客网上书城项目源码(设计以及实现文档).zip
03-29
JavaWeb传智播客网上...通过深入研究这个项目,开发者不仅可以学习到JavaWeb开发的基本流程,还能掌握实际项目问题解决策略,提升自己的实战能力。设计和实现文档将为理解整个项目的结构和逻辑提供清晰的指引。
javaWeb物资管理系统项目源码.zip
04-17
JavaWeb物资管理系统项目源码】是一个典型的JavaWeb应用程序,主要针对物资管理需求而设计,适合初学者学习和作为毕业设计参考。这个项目的核心在于利用Java编程语言和相关的Web技术来构建一个完整的、功能完善的...
javaweb物流配货项目源码.zip
05-09
源码看到如何使用try-catch-finally,以及全局异常处理器来捕获和处理可能出现的错误。 11. **单元测试与集成测试**:为了确保代码质量,项目可能使用JUnit或TestNG进行了单元测试,以及使用Mockito等工具进行...
提取DruidSQL解析器
12-14
认识 Druid   Druid 是阿里巴巴公司开源的一个数据库连接池,它的口号是: 为监控而生的数据库连接池   根据 官方 wiki 的介绍   Druid 是一个 JDBC 组件库,包括数据库连接池、SQL Parser 等组件,DruidDataSource 是好的数据库连接池。   显然,官方有意无意地强调了 DruidDataSource 是好的数据库连接池 -_- …   Druid SQL 解析器   Druid 作为一个数据库连接池,功能很多,但我接触 Druid候,却不是因为它有世界上好的数据库连接池实现。而是因为有些开源项目(比如,mycat),借用了
springboot-freemarker:包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker;有完整的UI、增删改查及分页,防SQL注入、XSS攻击拦截等
05-01
springboot-freemarker 介绍 它是一个典型的MVC三层框架,快速简单的上手。 springboot-freemarker 包含框架有:SpringBoot、SpringMVC、MyBaits、Bootstrap3、Druid、Freemarker; 集成示例有:增删改查及分页;防XSS、SQL注入; 数据库配置 默认是连接MySQL数据库,支持多数据源,分别连接的db1,db2 ,在项目工程的db文件夹下有数据库初始化脚本; 如果切换至sqlite数据库,则application.properties当的mybatis分页插件需要改成支持sqlite; 示例启动 启动工程; 运行cn.springboot.Application当的main方法; 浏览器访问, 测试账号是admin/123456,即可看示例效果;
SQL注入组件
02-23
SQL注入组件
在spring的web项目配置druid监控
zhangbeizhen18的博客
12-28 921
1.创建spring的web项目 2.配置好spring相关基础配置,确保服务可正常运行即可   3.在spring配置文件配置好druid数据源,druid的jar包要正常引入 4.在web.xml加入如下配置     &lt;filter&gt;         &lt;filter-name&gt;DruidWebStatFilter&lt;/filter-name&gt;     ...
Druid SQL注入检测
超威半导体
08-19 1962
今天遇到一个问题: ### Error updating database. Cause: java.sql.SQLException: sql injection violation, comment not allow 我的SQL 如下: update xxx <set> <if test="availCount != null"&...
Druid抛出注入异常
qq_42478982的博客
03-08 838
Druid Wall 过滤器是一种 SQL 审计与防火墙功能,它可以防止恶意的 SQL 注入攻击,并对 SQL 语句执行安全检查。当 spring.datasource.druid.filter.wall.enabled 设置为 true ,Wall 过滤器将启用,对所有通过 Druid 数据源执行的 SQL 进行安全性检测和过滤。2、将apollo配置的spring.datasource.druid.filter.wall.enabled。应该是第二次爆出此类错误,第一次间比较久,没记录下来。
druid+springboot 配置监控页面,监控慢sqlsql注入,去底部广告
Java流浪记
12-16 1091
meven 依赖 <!-- https://mvnrepository.com/artifact/com.alibaba/druid-spring-boot-starter --> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId&gt
Druid使用起步—在javaWeb项目配置监控
forliberty的博客
09-25 443
Druid使用起步—在javaWeb项目配置监控 http://my.oschina.net/u/568779/blog/152813
01.JavaWeb之JDBC详解、SQL注入问题SQL预编译和Druid数据库连接池
Cser_zhu的博客
08-24 679
JDBC和DataSource都是官方定义的接口,我们使用的候需要第三方实现的接口类(即驱动)JDBC的执行流程是:获取Connection,获取Statement,执行SQL语句如果开启了预编译,需要在数据库连接的url添加参数,并且使用预编译对象来执行sql语句预编译相当于sql语句是模板,执行之前给定参数,能够提高性能+防止SQL注入问题后面可以用maven来管理项目,就不用手动添加这些第三方包了。
Sqlserver》Javaweb项目链接sqlserver 2008R2出现的一系列的错误
06-08
5. SQL Server安全性设置问题:如果你使用SQL Server身份验证连接到SQL Server,你需要检查SQL Server的安全性设置,确保允许SQL Server身份验证。 6. SQL Server版本不兼容:确保你的JDBC驱动程序支持SQL Server ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值