sql injection violation, multi-statement not allow 最终解决方案

最新推荐文章于 2024-05-08 16:29:12 发布
最新推荐文章于 2024-05-08 16:29:12 发布
阅读量3.5w 收藏 32
点赞数 7
分类专栏: zhy-black 文章标签: Mybtis Druid Mysql 批量 Update
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36345950/article/details/83628775
版权

sql injection violation, multi-statement not allow

Mybatis+Mysql+Druid+SpringMVC+Spring

本博客结合前三篇观看更顺畅:

  1. spring boot集成MyBatis,集成Druid批量更新报错multi-statement not allow
  2. 千遍一律的multi-statement not allow解决方案对我没用
  3. MySql+Mybatis+Druid:sql injection violation, multi-statement not allow

解题思路:

  1. 代码报错,引起异常操作是批量更新,定义如下与Druid有关Bean:
    <bean id="dataSource" class="com.alibaba.druid.pool.DruidDataSource" init-method="init" destroy-method="close">
        <property name="driverClassName" value="${db.driverClassName}"/>
        <property name="url" value="${db.url}"/>
        <property name="username" value="${db.username}"/>
        <property name="password" value="${db.passwrod}"/>
        <property name="initialSize" value="3"/>
        <property name="minIdle" value="3"/>
        <property name="maxActive" value="20"/>
        <property name="maxWait" value="60000"/>
        <property name="filters" value="stat,wall"/>
    </bean>

    <bean id="stat-filter" class="com.alibaba.druid.filter.stat.StatFilter">
        <property name="slowSqlMillis" value="30000"/>
        <property name="logSlowSql" value="true"/>
        <property name="mergeSql" value="true"/>
    </bean>

    <bean id="wall-filter" class="com.alibaba.druid.wall.WallFilter">
        <property name="dbType" value="mysql"/>
    </bean>
  1. 浏览了第一篇博客,哦,原来是没有定义,WallConfig ,以及allowMultiQueries=true,随后加之。(使用SpringBoot的哥们应该就可解决此问题了。(纯属猜测))
    <bean id="wall-filter" class="com.alibaba.druid.wall.WallFilter">
        <property name="dbType" value="mysql"/>
        <property name="config" ref="wall-config"/>
    </bean>

    <bean id="wall-config" class="com.alibaba.druid.wall.WallConfig">
        <!-- 批量sql -->
        <property name="multiStatementAllow" value="true"/>
    </bean>
  1. 然后继续报错,阅过N篇博客后,发现第二篇与第三篇博客有异曲同工之处,两者都设置了一个叫proxyFilters的属性,第二篇博客中其实是覆盖掉Druid中原有的proxyFilters,经研究,dataSoruce中filters(stat,wall),其实并不是我们自己定义的Bean(其实他妈还是自己对框架不够了解),而是默认生成的,这个默认生成是从proxyFilters中获取的,所以我们设置的multiStatementAllow没有任何卵用,结合第三篇,就是将我们自己的stat,wall注入了proxyFilters。
    <property name="filters" value="stat,wall"/>

    <!-- druid -->
    <bean id="stat-filter" class="com.alibaba.druid.filter.stat.StatFilter">
        <property name="slowSqlMillis" value="30000"/>
        <property name="logSlowSql" value="true"/>
        <property name="mergeSql" value="true"/>
    </bean>

    <bean id="wall-filter" class="com.alibaba.druid.wall.WallFilter">
        <property name="dbType" value="mysql"/>
        <property name="config" ref="wall-config"/>
    </bean>

    <bean id="wall-config" class="com.alibaba.druid.wall.WallConfig">
        <!-- 批量sql -->
        <property name="multiStatementAllow" value="true"/>
    </bean>
  1. 最终Druid相关配置(proxyFilters一定要放在filters上面,filters初始化时没有proxyFilters,就会自己生成默认的,就会导致我们的proxyFilters注入失败,请参考第二篇博客):
    <!-- druid -->
    <bean id="dataSource" class="com.alibaba.druid.pool.DruidDataSource" init-method="init" destroy-method="close">
        <property name="driverClassName" value="${db.driverClassName}"/>
        <property name="url" value="${db.url}"/>
        <property name="username" value="${db.username}"/>
        <property name="password" value="${db.passwrod}"/>
        <property name="initialSize" value="3"/>
        <property name="minIdle" value="3"/>
        <property name="maxActive" value="20"/>
        <property name="maxWait" value="60000"/>
        <property name="proxyFilters">
            <list>
                <ref bean="stat-filter"/>
                <ref bean="wall-filter"/>
            </list>
        </property>
        <property name="filters" value="stat,wall,slf4j"/>
    </bean>

    <bean id="stat-filter" class="com.alibaba.druid.filter.stat.StatFilter">
        <property name="slowSqlMillis" value="30000"/>
        <property name="logSlowSql" value="true"/>
        <property name="mergeSql" value="true"/>
    </bean>

    <bean id="wall-filter" class="com.alibaba.druid.wall.WallFilter">
        <property name="dbType" value="mysql"/>
        <property name="config" ref="wall-config"/>
    </bean>

    <bean id="wall-config" class="com.alibaba.druid.wall.WallConfig">
        <!-- 批量sql -->
        <property name="multiStatementAllow" value="true"/>
    </bean>
  1. 最后不要忘了:allowMultiQueries=true(写在数据库连接串后边的东西。)
black_zhy_
关注
  • 7
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
关于MySQL同时执行多条SQL语句报:java.sql.SQLException: sql injection violation, multi-statement not allow :错误的解决
qq_33727275的博客
07-24 1095
工作中有一个执行多条SQL语句的需求,使用的Druid连接池的默认配置 com.alibaba.druid.pool.DruidDataSource 普通SQL执行无异常,但是在同时执行多条SQL时报错。后来经百度得知Druid执行多条SQL时需要修改2项默认配置。 1、追加JDBC的链接参数allowMultiQueries=true。示例如下: jdbc:mysql://loca...
sql injection violation, dbType mysql, druid-version 1.2.5, multi-statement not allow : UPDAT
热门推荐
好俗好麻烦的博客
03-25 1万+
报错信息 Caused by: java.sql.SQLException: sql injection violation, multi-statement not allow : UPDATE xxx表名 错误原因分析 违反sql注入:批量的操作不被允许 Druid的防火墙配置(Wall)中变量multiStatementAllow默认为false,导致被拦截 解决方式 方法一:修改连接字符串并且新增配置类 ① // 增加 allowMultiQueries=true // 例 spring:
mybatis 批量更新时 sql injection violation, multi-statement not allow 报错解决方法
gaozhonghua12的专栏
12-06 3606
解决方案 1.配置中去掉wall这个filter。 spring.datasource.druid.filters=config,wall,slf4j 改为 spring.datasource.druid.filters=config,slf4j 2.数据库连接加上&allowMultiQueries=true spring.datasource.url = jdbc:mysql://127.0.0.1:3306/test?useSSL=false&zeroDateTim.
SQL报错 -- sql injection violation, comment not allow
最新发布
mocoll的博客
05-08 273
大概意思就是检测到SQL注入了语句含有就会报这个错。
MyBatis批量修改报错 multi-statement not allow
weixin_42999287的博客
03-24 2874
错误信息: 解决方法: 1、首先在数据库连接串后加上:&allowMultiQueries=true jdbc:mysql://127.0.0.1:3306/test?useUnicode=true&characterEncoding=utf-8&useSSL=true&serverTimezone=GMT%2B8&allowMultiQueries=true 2、如果还报错 则添加文件 @Configuration public class DruidConfi
Druid抛出注入异常
qq_42478982的博客
03-08 716
Druid Wall 过滤器是一种 SQL 审计与防火墙功能,它可以防止恶意的 SQL 注入攻击,并对 SQL 语句执行安全检查。当 spring.datasource.druid.filter.wall.enabled 设置为 true 时,Wall 过滤器将启用,会对所有通过 Druid 数据源执行的 SQL 进行安全性检测和过滤。2、将apollo配置中的spring.datasource.druid.filter.wall.enabled。应该是第二次爆出此类错误,第一次时间比较久,没记录下来。
Mybatis 批量操作
anzy/pine的博客
09-26 225
1、config.properties文件配置 mysql数据库连接必须配置:&allowMultiQueries=true 例如:jdbc:mysql://192.168.1.236:3306/test?useUnicode=true&characterEncoding=UTF-8&allowMultiQueries=true/ 2、配置文件配置(spring-datasour
mysql批量执行sql报错解决
weixin_45314962的博客
01-17 1607
1、Druid配置的时候有一个大坑,就是不要同时配置flters和proxyFilters, filter都是内置的,想通过proxyFilters来定制的话,就不要配置filters;如果同时配置也会报错,会让人产出配置没有生效的错觉。比如在使用druid控制台访问时,配置文件配置了登录账号和密码,druid配置类也配置了账号和密码,并且账号和密码不一样!我最开始这样配置,执行批量删除sql一样报错,排查了好半天才发现不能同时配置,因此放个错误示例,避免同志们踩坑!第二步检查druid连接配置。
SpringBoot+Druid数据源报错: sql injection violation, multi-statement not allow,亲测可用
菜鸟03的博客
11-30 2836
在我进行数据库foreach批量更新时,报错 sql injection violation, multi-statement not allow,重复执行sql语句导致sql注入异常。在网上找了不少案例都没有成功,最后发现了下面这个解决办法,亲测有效,记录一下。 解决办法(分两步) 第一步 &allowMultiQueries=true 还是需要加到URL后面的,必须的 第二步:编写druidconfig.java配置 @Configuration public class DruidConfi
java.sql.SQLException: sql injection violation, multi-statement not allow
乐于分享,共同成长
03-15 5562
解决——》java.sql.SQLException: sql injection violation, multi-statement not allow 1、操作 Spring Boot配置druid连接池,进行批量插入 2、现象(错误信息) Caused by: java.sql.SQLException: sql injection violation, multi-statement not allow : insert into public_serve(`type`, community_
MySQLsql injection violation, multi-statement not allow
dingxingmei的专栏
07-25 2174
java.sql.SQLException: sql injection violation, multi-statement not allow : update news_article set status=3 where status=2 and now() between effective_time and invalid_time; ...
sql injection violation, multi-statement not allow解决方案
sinat_28071119的博客
04-01 2648
原理就不在此赘述了,网上已有众多讲解,此处只发解决方案 为了更直观的表现 直接贴全文代码,若有不理解不能解决的,邮件1633827032@qq.com 项目架构是springboot+mybatis+mysql DruidConfig的配置: package com.vehicle.config; import com.alibaba.druid.pool.DruidDataSourc...
sql injection SQL注入解析 和解决方案
02-05
SQL注入解析 解决方案 sql injection php+mysqlsql注入。做个好的程序员。写出健壮的程序。可靠的程序。
MyBatis使用Druid数据源批量更新失败
12-14
multi-statement-allow: true #允许一次批量更新操作,会导致SQL注入 Caused by: java.sql.SQLException: sql injection violation, syntax error: syntax error, expect EQ, actual IDENTIFIER pos 372, line 22,...
violation-comments-to-gitlab-plugin:注释GitLab将请求与静态代码分析器的发现合并
05-26
对GitLab插件的违规评论 这是一个针对的Jenkins插件。 这个插件可以从静态代码分析中找到报告文件,并对GitLab的请求请求进行评论。 可在詹金斯。 提供受支持报告的示例。 这里有一个完整的运行示例: : ...
Traffic-Rule-Violation-Detection-System
03-11
注意-由于时间紧迫,我无法维护此存储库,因此,如果有兴趣帮助维护此存储库的任何人都可以与我联系,我可以将您添加为维护者,谢谢。 交通规则违规检测系统 该项目试图在遇到红灯或超速行驶时检测汽车。...
violation-comments-to-bitbucket-server-command-line:向Bitbucket服务器报告静态代码分析
04-23
npx violation-comments-to-bitbucket-server-command-line \ -pat TOKENHERE \ -pk PROJECT_KEY \ -rs REPO_SLUT \ -prid 1234 \ -v " CHECKSTYLE " " . " " .*checkstyle/main\.xml$ " " Checkstyle " \ -v ...
druid错误 sql injection violation, multi-statement not allow
weixin_38689747的博客
09-07 5704
** 错误描述: ** druid报错 org.springframework.jdbc.UncategorizedSQLException: Error querying database. Cause: java.sql.SQLException: sql injection violation, multi-statement not allow : xxxxxx sql语句 ** 错误分析: ** 主要引起原因是在mybatis一条sql中有多个;分割的语句,我的情况只在datasource
Mybatis批量更新,报错:sql injection violation, multi-statement not allow
m0_64490070的博客
11-04 466
spring.datasource.manage.url(manage是我的名字,你的可能不同)在后面添加&allowMultiQueries=true,运行如果还有问题,则还需要找到spring.datasource.manage.filters=stat,wall,删掉wall :spring.datasource.manage.filters=stat。注意:separator 需要使用的是分号而非逗号,确保这里报错的语句是没有问题的。
pg数据库 Error updating database. Cause: java.sql.SQLException: sql injection violation, multi-statement not allow 怎么解决
05-15
这个错误是由于在执行 SQL 语句时,输入的参数中包含有多条 SQL 语句,而多条 SQL 语句是不被允许的,因为可能会产生 SQL 注入攻击。 为了解决这个问题,你需要检查你的代码,确保输入的参数不包含有多条 SQL 语句。在执行 SQL 语句之前,建议先对输入参数进行检查和过滤,以防止 SQL 注入攻击。你可以使用预编译的 SQL 语句或使用 ORM 框架来避免这个问题的发生。此外,你也可以配置 pg 数据库,禁止执行多条 SQL 语句。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值