MySql+Mybatis+Druid:sql injection violation, multi-statement not allow

已于 2022-09-01 13:11:55 修改
阅读量4w 收藏 34
点赞数 18
分类专栏: java 文章标签: mybatis mysql sql
于 2016-01-28 14:01:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goldenfish1919/article/details/50600053
版权

做一个批量update的操作 ,sqlmap如下:

<update id="updateBatch" parameterType="java.util.List">
		<foreach collection="list" item="item" index="index" open="" close="" separator=";">
                update device_bd_token 
                <set>
				access_token=#{item.accessToken}
                </set>
                where device_id = #{item.deviceId}
         </foreach>
	</update>


结果报错:

Caused by: java.sql.SQLException: sql injection violation, multi-statement not allow : update device_bd_token 
                 SET access_token=? 
                where device_id = ?
          ; 
                update device_bd_token 
                 SET access_token=? 
                where device_id = ?
	at com.alibaba.druid.wall.WallFilter.check(WallFilter.java:714)
	at com.alibaba.druid.wall.WallFilter.connection_prepareStatement(WallFilter.java:240)
	at com.alibaba.druid.filter.FilterChainImpl.connection_prepareStatement(FilterChainImpl.java:448)
	at com.alibaba.druid.filter.FilterAdapter.connection_prepareStatement(FilterAdapter.java:928)
	at com.alibaba.druid.filter.FilterEventAdapter.connection_prepareStatement(FilterEventAdapter.java:122)
	at com.alibaba.druid.filter.FilterChainImpl.connection_prepareStatement(FilterChainImpl.java:448)
	at com.alibaba.druid.proxy.jdbc.ConnectionProxyImpl.prepareStatement(ConnectionProxyImpl.java:342)
	at com.alibaba.druid.pool.DruidPooledConnection.prepareStatement(DruidPooledConnection.java:318)


刚开始以为是连接数据库的url上没有加上支持批量的参数,然后就改了下:

jdbc.url=jdbc:mysql://192.168.11.107:3306/alarm_db?allowMultiQueries=true&useUnicode=true&characterEncoding=UTF-8


结果还是同样的错误!但是在命令行直接执行又是没问题的,这就很奇怪了!

仔细看日志,好像是Druid的WallFilter.check()抛出来的,那就是说是Druid在做预编译的时候,给抛出的异常,还没有到mysql的服务器。

最终的解决办法是这样的:

<bean id="dataSourceOne" class="com.alibaba.druid.pool.DruidDataSource" destroy-method="close">
		<property name="proxyFilters">
			<list>
				<ref bean="stat-filter" />
				<ref bean="wall-filter"/>
			</list>
		</property>
	</bean>

<bean id="wall-filter" class="com.alibaba.druid.wall.WallFilter">
		<property name="config" ref="wall-config" />
	</bean>
	
	<bean id="wall-config" class="com.alibaba.druid.wall.WallConfig">
		<property name="multiStatementAllow" value="true" />
	</bean>


配置一个multiStatementAllow参数就可以了。

看下源码的处理:

也就是说,只要把config的multiStatementAllow设置为true就可以避免出现这样的错误了!

Druid配置的时候还有一个大坑就是,不要同时配置filters和proxyFilters,filter都是内置的,想通过proxyFilters来定制的话,就不要配置filters。

DruidDataSource继承了DruidAbstractDataSource,

可以看出来,既可以配置filters,也可以配置proxyFilters,不同的是,filters是字符串别名,proxyFilters是类。

我们继续看一下这些字符串的值应该是啥样的:

原来在这里:

这就是druid内置的所有的filter了,去掉前缀druid.filters就是别名了。

若鱼1919
关注
  • 18
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
外卖点餐系统,后端:springboot+mybatis+mybatis-plus 前端:vue+elmen
05-08
MyBatis是一个Java持久层框架,可将SQL语句与Java对象进行映射,简化了数据库操作。MyBatis提供了简单易用的API,可以将复杂的数据库操作封装成简单的CRUD操作。 MyBatis-Plus是MyBatis的增强版,提供了更多的便捷...
springboot-mybatis-druid-sqlserver-maven:一个基于springboot+mybatis+druid+sqlserver+maven的demo
05-01
springboot-mybatis-druid-sqlserver-...一个基于springboot+mybatis+druid+sqlserver+maven的demo 只是一个示例项目,关于数据查询 有注解 和 mapper.xml 两种实现,CityMapper.xml 字段未完全设置正确,但不影响。
springboot解决multi-statement not allow(已部署生产)
qq_39839075的博客
10-08 1866
看报错的堆栈,是一个叫做WallFilter的过滤器中报出来的。首先来说,解决思路没有问题,就是将这个属性multiStatementAllow的值设置为true,关键是怎么做是有效的?反正我试了网上的思路,不管用,还是报错,要不然就是不报错了,但是。解决思路很简单,首先将我们已经生成的数据源注入到代码中,然后添加MultiStatementAllow=true的配置。我对druid的源码也不熟悉,碰到了这个问题,也是google,第一:很简单,既然是wall引起的,直接把它去掉不就行了。
sql injection violation, multi-statement not allow 最终解决方案
热门推荐
Ace of spades
11-01 3万+
sql injection violation, multi-statement not allowMybatis+Mysql+Druid+SpringMVC+Spring解题思路: Mybatis+Mysql+Druid+SpringMVC+Spring 本博客结合前三篇观看更顺畅: spring boot集成MyBatis,集成Druid批量更新报错multi-statement not a...
SQL报错 -- sql injection violation, comment not allow
最新发布
mocoll的博客
05-08 396
大概意思就是检测到SQL注入了语句含有就会报这个错。
mysql批量执行sql报错解决
weixin_45314962的博客
01-17 1932
1、Druid配置的时候有一个大坑,就是不要同时配置flters和proxyFilters, filter都是内置的,想通过proxyFilters来定制的话,就不要配置filters;如果同时配置也会报错,会让人产出配置没有生效的错觉。比如在使用druid控制台访问时,配置文件配置了登录账号和密码,druid配置类也配置了账号和密码,并且账号和密码不一样!我最开始这样配置,执行批量删除sql一样报错,排查了好半天才发现不能同时配置,因此放个错误示例,避免同志们踩坑!第二步检查druid连接配置。
druid错误 sql injection violation, multi-statement not allow
weixin_38689747的博客
09-07 5754
** 错误描述: ** druid报错 org.springframework.jdbc.UncategorizedSQLException: Error querying database. Cause: java.sql.SQLException: sql injection violation, multi-statement not allow : xxxxxx sql语句 ** 错误分析: ** 主要引起原因是在mybatis一条sql中有多个;分割的语句,我的情况只在datasource
MySQLsql injection violation, multi-statement not allow
dingxingmei的专栏
07-25 2179
java.sql.SQLException: sql injection violation, multi-statement not allow : update news_article set status=3 where status=2 and now() between effective_time and invalid_time; ...
mybatis 批量更新时 sql injection violation, multi-statement not allow 报错解决方法
gaozhonghua12的专栏
12-06 3773
解决方案 1.配置中去掉wall这个filter。 spring.datasource.druid.filters=config,wall,slf4j 改为 spring.datasource.druid.filters=config,slf4j 2.数据库连接加上&allowMultiQueries=true spring.datasource.url = jdbc:mysql://127.0.0.1:3306/test?useSSL=false&zeroDateTim.
springboot + mybatis +mysql+ sqlserver 双数据源
09-24
本项目"springboot + mybatis +mysql+ sqlserver 双数据源"正是针对这种需求的一个解决方案,它利用SpringBoot框架、MyBatis持久层框架以及MySQLSQLServer两种数据库,实现了数据源的自动切换,以满足不同业务场景...
Spring boot+mybatis+druid+SQL监控
02-28
本文使用Druid的连接池,然后配置Druid的相关属性,完成对Spring web工程的JDBC监控。 其实,我采用Druid替换其它连接池,最关键的一个理由是Druid有对SQL执行的监控统计功能。 druid 实现 SQL、URI 等监控
社区系统源码:基于 SpringBoot + MyBatis + MySQL + Redis + Kafka
05-08
ORM:MyBatis 数据库:MySQL 5.7 分布式缓存:Redis 本地缓存:Caffeine 消息队列:Kafka 2.13-2.7.0 搜索引擎:Elasticsearch 6.4.3 安全:Spring Security 邮件任务:Spring Mail 分布式定时任务:Spring Quartz ...
ava.sql.SQLException: sql injection violation, multi-statement not allow
高山仰止,景行行止
07-20 668
mapper.xml中的sql: <update id="updateBatchCardNumber" parameterType="java.util.List"> <foreach collection="list" index="index" item="item" open="" separator=";" close=""> update apply_user <set>
springboot druid 数据库多SQL错误multi-statement not allow
水里飞鸟的博客
04-20 5404
Caused by: java.sql.SQLException: sql injection violation, multi-statement not allowcom.alibaba.druid.wall.WallFilter.check(WallFilter.java:714) atcom.alibaba.druid.wall.WallFilter.connection_prepareS...
mysql statement viol_java.sql.SQLException: sql injection violation, multi-statement not allow
weixin_29811891的博客
02-17 804
我的开发环境是JFinal+Druid,在同时执行2个更新操作的时候提示:multi-statement not allow更具体的出错信息如下Causedby:java.sql.SQLException:sqlinjectionviolation,multi-statementnotallow:deletefromos_cms_contentwherecontent_...
Spring、MyBatisDruidMySQL使用事务执行SQL语句分析
adrninistrat0r的博客
08-27 1292
使用MySQL数据库时,使用事务与不使用事务相比,出现问题时排查更复杂。不使用事务时,客户端只需要请求MySQL服务一次(只考虑显式执行的SQL语句);使用事务时,客户端至少需要请求MySQL服务四次(开启事务、执行SQL语句、提交/回滚事务、恢复自动提交)。在Java中存在一些用法会导致事务失效,有的问题比较明显可以较快定位,有的问题隐藏较深可能需要较长时间排查。因此需要对MySQL的事务执行原理进行分析,并整理用于排查事务相关问题的快速有效的方法。...
解决Cause: java.sql.SQLException: sql injection violation, dbType mysql ... token IDENTIFIER deleted错误
念兮为美
03-21 8252
Cause: java.sql.SQLException: sql injection violation, dbType mysql, , druid-version 1.2.11, syntax error: not supported.pos 86, line 1, column 79, token IDENTIFIER deleted : xxx详细的解决方法以及建表的命名规范。
解决 Error querying database. Cause: java.sql.SQLException: sql injection violation....
聪明不喝牛奶的博客
07-16 3万+
解决 Error querying database. Cause: java.sql.SQLException: sql injection violation… 最近在开发的时候老板的需求就是将模糊搜索和PageHelper 结合起来将数据显示的同一个表格中,我在实操的时候碰到了一个上面这样的错误!Druid连接池给我报错。具体错误如下: ### Error querying database. Cause: java.sql.SQLException: sql injection violatio
Druid抛出注入异常
qq_42478982的博客
03-08 819
Druid Wall 过滤器是一种 SQL 审计与防火墙功能,它可以防止恶意的 SQL 注入攻击,并对 SQL 语句执行安全检查。当 spring.datasource.druid.filter.wall.enabled 设置为 true 时,Wall 过滤器将启用,会对所有通过 Druid 数据源执行的 SQL 进行安全性检测和过滤。2、将apollo配置中的spring.datasource.druid.filter.wall.enabled。应该是第二次爆出此类错误,第一次时间比较久,没记录下来。
采用技术为: 后端:Springboot+mybatis+shiro+druid+mysql+ecache 前端:html+layui+css+js+JQuery的好处
06-08
采用技术为后端:Springboot+mybatis+shiro+druid+mysql+ecache,前端:html+layui+css+js+JQuery,可以带来以下好处: 1. Springboot框架可以极大地简化开发流程,提高开发效率;Mybatis提供了强大的ORM功能,可以方便地操作数据库;Shiro为系统提供了安全框架,保证了系统的安全性;Druid提供了强大的数据库连接池管理功能,可以大大提高系统的性能;Mysql是一款功能强大的开源数据库,具有高可靠性、高可扩展性、高性能等特点;Ecache提供了缓存管理功能,可以加快系统访问速度。 2. Html作为标记语言,可以方便地搭建页面结构;Layui提供了丰富的组件库,可以快速构建页面布局;Css和js可以实现页面的样式和交互效果,增强用户体验;JQuery是一个轻量级的JavaScript库,可以简化js代码编写,提高开发效率。 3. 采用这些技术可以提高系统的开发效率、安全性、性能和用户体验,从而提高系统的整体质量和竞争力。 4. 这些技术都是经过实践验证的,具有广泛的应用和推广价值,可以满足各种应用场景的需求。 5. 这些技术在社区中拥有丰富的资源和支持,可以快速解决问题。 综上所述,采用这些技术可以使系统开发更加高效、安全、稳定、灵活,并且可以提供更好的用户体验和竞争力。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值