Druid 的 WallFilter 抛出 sql injection violation, comment not allow 问题的解决方法

最新推荐文章于 2024-03-08 17:49:31 发布
最新推荐文章于 2024-03-08 17:49:31 发布
阅读量4k 收藏
点赞数 1
分类专栏: Java 文章标签: druid
原文链接:https://juejin.im/post/5d340af7e51d455d850d3baf
版权

ps:

    https://github.com/alibaba/druid/wiki/%E9%85%8D%E7%BD%AE-wallfilter可以对应修改参数。

    如需要执行多行语句 , 要设置multiStatementAllow为true

1 现象

查询某个模块数据时,抛出以下异常:

Caused by: java.sql.SQLException: sql injection violation, comment not allow : select count(*) FROM sys_x a WHERE 1=1 --澶囨敞 AND a.organization_id NOT IN( SELECT b.descendant_id FROM sys_y b WHERE b.path_length!=0) 
	at com.alibaba.druid.wall.WallFilter.checkInternal(WallFilter.java:800)
	at com.alibaba.druid.wall.WallFilter.connection_prepareStatement(WallFilter.java:251)
	at com.alibaba.druid.filter.FilterChainImpl.connection_prepareStatement(FilterChainImpl.java:473)
	at com.alibaba.druid.proxy.jdbc.ConnectionProxyImpl.prepareStatement(ConnectionProxyImpl.java:342)
	at com.alibaba.druid.pool.DruidPooledConnection.prepareStatement(DruidPooledConnection.java:349)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:498)
	at org.springframework.jdbc.datasource.TransactionAwareDataSourceProxy$TransactionAwareInvocationHandler.invoke(TransactionAwareDataSourceProxy.java:239)
	at com.sun.proxy.$Proxy23.prepareStatement(Unknown Source)
	at org.springframework.jdbc.core.PreparedStatementCreatorFactory$PreparedStatementCreatorImpl.createPreparedStatement(PreparedStatementCreatorFactory.java:245)
	at org.springframework.jdbc.core.JdbcTemplate.execute(JdbcTemplate.java:583)
	... 59 more
复制代码

2 原因

  1. 在数据源配置时,加上了 Druid 的 wall 过滤器。而它默认的拦截策略是,不允许 SQL 中带有备注。
  2. 在该条 SQL 语句中,果然加了备注。

3 解决

  1. 如果是新项目,SQL 语句较少,那么可以去除语句中的备注。
  2. 如果是老项目,那么就必须对 Druid 的 wall 过滤器进行配置,打开项目的 XML 配置文件,配置 druid 拦截过滤器,允许 SQL 语句中存在注释:
<!--配置 druid 拦截过滤器-->
<bean id="wall-filter-config" class="com.alibaba.druid.wall.WallConfig" init-method="init">
	<!-- 是否允许语句中存在注释-->
	<property name="commentAllow" value="true" />
</bean>
<bean id="wall-filter" class="com.alibaba.druid.wall.WallFilter">
	<property name="config" ref="wall-filter-config" />
</bean>
复制代码

然后在 Druid 数据源配置中,加入 Druid 拦截过滤器:

<!--druid 数据源-->
<bean id="druidDataSource" class="com.alibaba.druid.pool.DruidDataSource">
	...
	<!--配置 Druid 过滤器-->
	<property name="proxyFilters">
		<list>
		        ...
			<ref bean="wall-filter"/>
		</list>
	</property>
        ...
</bean>
复制代码

重启应用,看看问题是不是已经解决啦O(∩_∩)O哈哈~


作者:deniro
链接:https://juejin.im/post/5d340af7e51d455d850d3baf
来源:掘金
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

thewindkee
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
boot+beetlsql+druid.zip
12-29
springboot整合beetlsqldruid连接多数据源
提取DruidSQL解析器
12-14
认识 Druid   Druid 是阿里巴巴公司开源的一个数据库连接池,它的口号是: 为监控而生的数据库连接池   根据 官方 wiki 的介绍   Druid 是一个 JDBC 组件库,包括数据库连接池、SQL Parser 等组件,DruidDataSource 是好的数据库连接池。   显然,官方有意无意地强调了 DruidDataSource 是好的数据库连接池 -_- …   Druid SQL 解析器   Druid 作为一个数据库连接池,功能很多,但我接触 Druid 的时候,却不是因为它有世界上好的数据库连接池实现。而是因为有些开源项目(比如,mycat),借用了
高效SQL变更追踪工具 - DbTracer,基于MyBatis与Druid的Java源码解决方案
最新发布
03-25
项目名称:DbTracer - 高效SQL变更跟踪工具 项目简介: DbTracer是一个基于Java语言开发的源码解决方案,主要用于自动记录数据库表中数据的变更轨迹。该项目集成了MyBatis插件机制和Druid SQL解析功能,为数据变更的跟踪提供了一种高效且便捷的方式。 技术构成: - 主要编程语言:Java - 文件组成:共计42个文件,包括: - Java源文件:26个 - XML配置文件:7个 - 属性配置文件:3个 - SQL脚本:2个 - Markdown文档:1个 - XSD模式文件:1个 - Classpath配置:1个 - 项目配置文件:1个 DbTracer通过MyBatis插件对SQL操作进行拦截,并利用Druid强大的SQL解析能力,精确记录下数据变更的历史。它旨在帮助开发者和数据管理员更好地监控和维护数据的一致性与完整性,是数据库日常维护与审计的理想工具。
Druid连接泄露问题重现&解决方式.pdf
05-11
Druid连接泄露问题重现&解决方式
spring多数据源WallFilter配置导致sql检查异常
shuoguobufangqi的博客
03-08 350
spring多数据源WallFilter配置导致sql检查异常
com.alibaba.druid.sql.parser.ParserException: ERROR. pos 401, line 17, column 8, token DOT
热门推荐
阿潘是个程序猿的博客
06-27 5万+
com.alibaba.druid.sql.parser.ParserException: ERROR. pos 401, line 17, column 8, token DOT at com.alibaba.druid.sql.parser.SQLExprParser.primary(SQLExprParser.java:793) ~[druid-1.1.10.jar:1.1.10] at...
sql injection violation, comment not allow...uncategorized SQLException for SQL []; SQL state [null]
zhangxiaojun211的博客
06-24 7233
使用durid连接池组件,执行sql时发现异常如下: Caused by: java.sql.SQLException: sql injection violation, part alway true condition not allow : select t.id,t.name ,from sys_testt where (t.tid = 'sys' or ''='sys') and (...
java.sql.SQLException: sql injection violation, comment not allow报错分析及解决
Alanoddsoff的专栏
10-24 1万+
近期项目开发中,遇到报错java.sql.SQLException: sql injection violation, comment not allow 查阅了下资料得知:在数据源配置时,加上了 Druidwall 过滤器。而它默认的拦截策略是,不允许 SQL 中带有备注,如下图: 然后查看一下mybatis中xml文件,如下图: 去掉相关查询列注释后,重启项目即可解决问题 ...
Caused by: java.sql.SQLException: sql injection violation, comment not allow 问题处理
weixin_42422126的博客
07-12 927
一个老项目,调用接口异常发现org.hibernate.exception.GenericJDBCException: could not prepare statement 错误,往下找到原因是sql有注释。把/*'*/注释去掉;注意去掉之后 @rownum :=@rownum 的 := 需要转义。
五、MySql+Mybatis+Druid:报sql injection violation, comment not allow异常
panchang199266的博客
06-13 1万+
  报错的sql语句: &lt;update id="synchronizedStar" parameterType="Date"&gt; &lt;if test="lastUpdateTime == null"&gt; update business b,( #建立商户与星级的对应关系表 select ...
Druid SQL解析器的解析过程
01-21
这篇文尝试近距离地探究 Druid SQL 解析器如何工作。  Demo 代码  以这份代码为例 /** * * * @author beanlam * @date 2017年1月10日 下午11:06:26 * @version 1.0 * */ public class ParserMain { ...
mybatis批量删除 java_MyBatis(九):Mybatis Java API批量操作(增、删、改、查)
weixin_35720393的博客
02-26 164
最近工作中用到了mybatis的Java API方式进行开发,顺便也整理下该功能的用法,接下来会针对基本部分进行学习:Mybatis官网给了具体的文档,但是并没有对以上用法具体介绍,因此在这里整理下,以便以后工作用到时,可以参考。本章主要使用Mybatis中使用typeHandlers进行对Enum进行转化的用法(本章将结合Spring自动注入《Spring(二十三):Spring自动注入的实现方...
mysqlplus 批量插入_解决SpringBoot+Druid+Mybatis Plus 执行MySQL批量插入,更新 报错的问题...
weixin_39727934的博客
12-20 734
项目实际开发中,使用到了MySQL批量插入的语法,在MySQL中执行成功后,移植到项目时发生了问题,语句如下:REPLACE INTO table1(id,works_fusion_id,statistics_date,chapter_number,new_chapter,works_hot,works_like_number,works_read_number,works_comment_num...
flyway报错: sql injection violation, dbType mysql, druid-version xxx, syntax error: illegal name...
weixin_45671892的博客
02-26 3741
解决driud在使用dynamic配置多数据源下报SQL注入错误:sql injection violation, dbType mysql, , druid-version 1.2.5, syntax error: illegal name...
springboot解决multi-statement not allow(已部署生产)
qq_39839075的博客
10-08 1433
看报错的堆栈,是一个叫做WallFilter的过滤器中报出来的。首先来说,解决思路没有问题,就是将这个属性multiStatementAllow的值设置为true,关键是怎么做是有效的?反正我试了网上的思路,不管用,还是报错,要不然就是不报错了,但是。解决思路很简单,首先将我们已经生成的数据源注入到代码中,然后添加MultiStatementAllow=true的配置。我对druid的源码也不熟悉,碰到了这个问题,也是google,第一:很简单,既然是wall引起的,直接把它去掉不就行了。
【mysql】Error querying database. Cause: java.sql.SQLException: sql injection violation, comment not
掘金者说
01-08 1387
查询数据库时出错。原因:java.sql.sql异常:sql注入冲突,不允许注释遇到报错
MySql+Mybatis+Druidsql injection violation, multi-statement not allow
zlj1217的博客
09-01 938
在测试一个mybatis批量更新的时候,报了sql injection violation, multi-statement not allow 的错误,和下面转载的博客一样,我也是以为连接数据库的url上没有加上支持批量的参数,然后就改了下: jdbc.url=jdbc:mysql://192.168.11.107:3306/alarm_db?allowMultiQueries=tru
druid wallfilter 连接达梦
09-04
Druid是一种实时数据分析工具,而达梦是一种关系型数据库。Druid Wallfilter是一种用于连接Druid和达梦数据库的插件。 Druid Wallfilter插件的作用是在Druid查询中进行SQL墙过滤,它允许Druid直接连接到达梦数据库,从而可以在Druid中对达梦数据库中的数据进行实时分析和查询。使用Druid Wallfilter可以实现将达梦数据库中的数据导入到Druid中,以便进行更复杂和高效的数据处理和分析。 Druid Wallfilter连接到达梦数据库的过程相对简单。首先,需要在Druid的配置文件中添加达梦数据库的连接信息,包括数据库的地址、用户名、密码等。然后,在Druid的查询语句中使用特定的语法来指定连接到达梦数据库,并执行相应的SQL查询操作。Druid Wallfilter会自动将查询转换为达梦数据库可以理解的SQL语句,并将结果返回给Druid进行进一步处理和分析。 通过使用Druid Wallfilter连接达梦数据库,可以充分利用Druid的实时数据处理和分析能力,同时也可以充分发挥达梦数据库的数据存储和管理功能。这样,用户可以在Druid中进行复杂的数据查询和分析操作,同时又能够充分利用达梦数据库所提供的功能和特性,从而提升数据处理的性能和效率。 总而言之,Druid Wallfilter插件可以实现Druid与达梦数据库的连接,使得在Druid中对达梦数据库的数据进行实时查询和分析成为可能。通过合理配置和使用Druid Wallfilter,可以使得数据处理和分析过程更加高效和便捷。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值