集成druid连接池组件后部分查询报错问题

最新推荐文章于 2024-06-26 09:36:19 发布
最新推荐文章于 2024-06-26 09:36:19 发布
阅读量857 收藏 2
点赞数
分类专栏: 遇到的问题 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39349088/article/details/116118460
版权

集成druid连接池组件后部分查询报错问题

现象

在集成druid连接池组件后, 部分查询接口报错500, 提示内容如下: sql injection violation, part alway true condition not allow

分析

技术分析

接口查询使用的是mybatis generator框架自定义规则配置来逆向生成mappermodel, 其中一个规则是定义状态字段不同值时条件就变为1=1, 此为导致这次报错的源头原因. 但是该条查询语句直接放在mysql里或者navicat里执行都没问题, 没报错.

业务分析

这几个接口都是很久之前的接口,并不是新需求, 之前一起没问题, 最近几天才出现这个情况, 所以并不是接口的问题, 前端传参也没问题. 排除业务及传参错误.

查看最近的几次更新, 跟数据库相关的是集成了druid连接池组件, 而druid连接池配置里开启了防御sql注入的filter1, druid会扫描时判断该条sql是有注入风险, 就直接报错.

但是 select * from table where 1=1 这样的sql却没有报错, 原因是一般情况下, where后面的条件不会是注入点, 所以where 1=1不会扫描, where condition=''xx" and 1=1就会触发注入扫描.

Druid扩展插件

解决方案

方案一

  • 问题是sql不规范导致的, 最好的解决方案是修改sql生成方式, 去掉这个字段的自定义插件配置, 生成正常规范的查询条件. 但是这个方案几乎涉及大部分接口, 改动及工作量很大, 在当前场景下不太合适.

方案二

  • 不开启此项插件(网上大部分的解决方案). 但是这样就会把所有的sql注入扫描关闭, 从安全角度来说并不妥当.
# 去掉wall
# spring.datasource.druid.filters=wall,stat
spring.datasource.druid.filters=stat

方案三

  • druid的防御sql注入的filter:wall有多个配置项, 可以把永真条件查询的配置设为允许即可2. 目前背景下, 此项为最优解.
# 开启WallFilter
spring.datasource.druid.filter.wall.enabled=true
# 允许永真查询条件
spring.datasource.druid.filter.wall.config.condition-and-alway-true-allow=true

  1. DruidDataSource配置属性 ↩︎

  2. Druid github Issues ↩︎

_zhima
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Boot集成Druid数据库连接池
08-30
Spring Boot集成Druid数据库连接池 在本文中,我们将学习如何将Druid数据库连接池集成到Spring Boot项目中。Druid数据库连接池是阿里巴巴开源的数据库连接池,号称是Java语言中最好的数据库连接池,是为监控而生的...
springboot系列教程(七):Druid连接池组件(含源码)
最新发布
07-16
springboot系列教程(七):Druid连接池组件(含源码)
hibernate自动添加永真1=1,导致Druid sql防火墙报错问题
heartlifes
06-09 3064
最近工程突然报错java.sql.SQLException: sql injection violation, part alway true condition not allow : select count(*) where this_.id<>? and 1=1 at com.alibaba.druid.wall.WallFilter.check(WallFilter.ja
druid sql黑名单 报异常 sql injection violation, part alway true condition not allow
weixin_33859665的博客
10-26 724
最近使用druid,发现阿里这个连接池 真的很好用,可以监控到连接池活跃连接数 开辟到多少个连接数 关闭了多少个,对于我在项目中查看错误 问题,很有帮助, 但是最近发现里面 有条sql语句 被拦截了,在sql黑名单里,程序抛出异常 sql injection violation, part alway true condition not allow sql 语句大概如下 HIbernate...
MyBatis+Druid使用where 1=1导致报错
Dantesding的博客
12-06 1711
Caused by: java.sql.SQLException: sql injection violation, dbType mysql, druid-version 1.2.8, part alway true condition not allow
datatables 加载不了本地数据_Apache Druid —当代大数据分析的必要条件
weixin_30043049的博客
11-29 158
术语"大数据"是指具有高容量,高速度和多样化的数据的数字存储。 大数据分析是使用软件来发现那些大型数据存储中的趋势,模式,相关性或其他有用见解的过程。 Apache Druid基本上有能力证明自己是构建大数据分析平台的骨干之一。根据Wikipedia的介绍,Druid是一种用Java编写的面向列的开源分布式数据存储。 Druid旨在快速提取大量事件数据,并在数据之上提供低延迟查询Druid的核心...
MySQL异常 #SQLException: sql injection violation, part alway true condition not allow
热门推荐
有时有味的博客
01-03 1万+
1.异常现象 Caused by: java.sql.SQLException: sql injection violation, part alway true condition not allow nested exception is java.sql.SQLException: sql injection violation, part alway true condition not allow : SELECT id ..
spring boot配置druid连接池的完整步骤
08-26
Spring Boot 配置 Druid 连接池的完整步骤 Spring Boot 是一个基于 Java 的开源框架,用于构建微服务架构的应用程序。 Druid 是一个功能强大且高效的数据库连接池,由阿里巴巴开发,已经在生产环境中广泛应用。 ...
tomcat连接池与阿里Druid连接池
10-25
Tomcat 连接池和阿里 Druid 连接池的配置和比较 Tomcat 连接池是一种基于 Java 的数据库连接池实现,提供了高效、可靠的数据库连接管理。阿里 Druid 连接池是阿里巴巴开发的开源连接池,提供了高性能、可靠的数据库...
druid连接池的jar包
01-27
数据可以实时摄入,进入到Druid后立即可查,同时数据是几乎是不可变。通常是基于时序的事实事件,事实发生后进入Druid,外部系统就可以对该事实进行查询Druid提供低延时的数据插入,实时的数据查询Druid使用...
问题druid报异常sql injection violation, part alway true condition not allow 解决方案
我是Superman丶的博客
07-02 3080
问题druid报异常sql injection violation, part alway true condition not allow
java.sql.SQLException: sql injection violation, part alway true condition not allow
weixin_34239169的博客
01-28 1338
2019独角兽企业重金招聘Python工程师标准>>> ...
Druid-排查conditionDoubleConstAllow配置问题(double const condition)
meimonkey的专栏
07-19 1706
Druid-排查conditionDoubleConstAllow配置问题(double const condition)
SQL查询报错:SQLException: sql injection violation, part alway true condition not allow
weixin_52116015的博客
06-26 304
SQL查询报错:SQLException: sql injection violation, part alway true condition not allow
faq点赞开发问题记录
CheerTan is here
05-05 339
文章目录插入和查询数据库报错,不知是什么原因,语句问题报错TooManyResultsException:MySQL报错解决--Parameter index out of range (1 > number of parameters, which is 0)mybatis中取值符号#,$的区别druid报异常 “sql injection violation, part alway t...
Druid配置
rubbertree的专栏
04-18 2678
spring: datasource: druid: access-to-underlying-connection-allowed: false #允许访问底层连接 active-connection-stack-trace: #活跃连接堆跟踪 active-connections: #活跃连接列表 aop-patterns: #A...
MyBatis-Plus02 条件构造器QueryWrapper、UpdateWrapper、Condition、LambdaQuery用法详解
weixin_52536274的博客
05-23 1万+
MyBatis-Plus中的条件构造器QueryWrapper、UpdateWrapper、Condition、LambdaQuery用法详解
druid报异常 “sql injection violation, part alway true condition not allow”的解决方案
w36680130的博客
11-07 2728
druid报异常 “sql injection violation, part alway true condition not allow”的解决方案
druid连接池clickhouse
07-01
### 回答1: Druid连接池可以用于连接和管理ClickHouse数据库。ClickHouse是一个面向在线分析处理(OLAP)的列...通过连接池连接Druid和ClickHouse,我们可以实现高效的实时数据分析和查询,提升数据处理和分析的效率。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值