java.sql.SQLException: sql injection violation, syntax error: TODO QUES

最新推荐文章于 2024-05-22 23:42:48 发布
最新推荐文章于 2024-05-22 23:42:48 发布
阅读量4.5k 收藏 1
点赞数
分类专栏: 错误记录 文章标签: exception java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39247773/article/details/114401535
版权

异常记录一下,之前遇到过类似问题,但是由于未记录,又排查了近两个小时,切记切记!!!

见异常描述

org.springframework.jdbc.UncategorizedSQLException: 
### Error querying database.  Cause: java.sql.SQLException: sql injection violation, syntax error: TODO QUES : SELECT nvl(QBXSSR,0) from GS_SB_SBXX t
		WHERE t.result_id=? AND t.ZSXM_DM='10101'
		AND trunc(t.SSSQZ,'mm') BETWEEN add_months(TO_DATE(?,'yyyy-mm-dd'),-?)  
					AND add_months(TO_DATE(?,'yyyy-mm-dd'),-?)
### The error may exist in file [D:\Java\Eclipse\eclipseworkspace\other\dg-platform-B-0058\target\classes\config\mybatis\mapper\dgsqlmap\sqlmap-mapping-warnquantifymodelindex.xml]
### The error may involve com.vplatform.webside.earlywarning.mapper.WarnQuantifyModelIndexMapper.getTaxZzsXSSR
### The error occurred while executing a query
......

mybatis XML中异常代码段

	<select id="getTaxZzsXSSR" parameterType="map" resultType="BigDecimal">
		SELECT nvl(QBXSSR,0) from GS_SB_SBXX t
		WHERE t.result_id=#{resultId} AND t.ZSXM_DM='10101'
		AND trunc(t.SSSQZ,'mm') BETWEEN add_months(TO_DATE(#{zzsMaxDate},'yyyy-mm-dd'),-#{somendxj})  
					AND add_months(TO_DATE(#{zzsMaxDate},'yyyy-mm-dd'),-#{somendsj})
	</select>

 

该异常的描述很概括,只是说存在问题,然后把整个sql语句抛出,并未明确说明是什么问题及具体位置,通过debug将入参带入sql,在plsql中执行该脚本并未报错,所以排除语句问题,并且经对比确定了parameterType与resultType属性无误,最终确定为接参方式问题,入参map为Map<String, Object>,其中somendxj与somendsj为int类型,接参不能为#{xxx}格式,改成${xxx}后异常解决。

解决后的代码段为

	<select id="getTaxZzsXSSR" parameterType="map" resultType="BigDecimal">
		SELECT nvl(QBXSSR,0) from GS_SB_SBXX t
		WHERE t.result_id=#{resultId} AND t.ZSXM_DM='10101'
		AND trunc(t.SSSQZ,'mm') BETWEEN add_months(TO_DATE(#{zzsMaxDate},'yyyy-mm-dd'),-${somendxj})  
					AND add_months(TO_DATE(#{zzsMaxDate},'yyyy-mm-dd'),-${somendsj})
	</select>

另补充一个同一问题排查点

<insert id="insertWarnSMSModel" parameterType="java.util.List">
		insert into ALERT_TO_GLYH
	    (
	        ID,
	        RESULT_ID,
<!-- 	        CJSJ, -->
	        MSG_CJSJ,
	        MSG_TYPE,
	        SEND_TIMES,
	        SEND_CYCLE,
	        WORKDAY,
	        OVER_TIME,
	        PHONENUMBER,
	        INPUT_TIME,
	        INDNAME,
	        STATUS,
	        CREATE_TIME
	        )
       select ALERT_TO_GLYH_SEQ.NEXTVAL ID, A.*, sysdate from  
      <foreach collection="list" separator="UNION ALL" item="item" open="(" close=")">
<!--         #{ID,jdbcType=DECIMAL}, -->
        #{RESULT_ID,jdbcType=VARCHAR},
<!--         #{CJSJ,jdbcType=TIMESTAMP}, -->
        #{MSG_CJSJ,jdbcType=TIMESTAMP},
        #{MSG_TYPE,jdbcType=VARCHAR},
        #{SEND_TIMES,jdbcType=VARCHAR},
        #{SEND_CYCLE,jdbcType=VARCHAR},
        #{WORKDAY,jdbcType=VARCHAR},
        #{OVER_TIME,jdbcType=VARCHAR},
        #{PHONENUMBER,jdbcType=VARCHAR},
        #{INPUT_TIME,jdbcType=TIMESTAMP},
        #{INDNAME,jdbcType=VARCHAR},
        #{STATUS,jdbcType=VARCHAR}
        from dual 
      </foreach> 
        A 
	</insert>

代码中设置了集合中的实体为item,则入参前都需加上item.

	<insert id="insertWarnSMSModel" parameterType="java.util.List">
		insert into ALERT_TO_GLYH
	    (
	        ID,
	        RESULT_ID,
<!-- 	        CJSJ, -->
	        MSG_CJSJ,
	        MSG_TYPE,
	        SEND_TIMES,
	        SEND_CYCLE,
	        WORKDAY,
	        OVER_TIME,
	        PHONENUMBER,
	        INPUT_TIME,
	        INDNAME,
	        STATUS,
	        CREATE_TIME
	        )
       select ALERT_TO_GLYH_SEQ.NEXTVAL ID, A.*, sysdate from  
      <foreach collection="list" separator="UNION ALL" item="item" open="(" close=")">
<!--         #{item.ID,jdbcType=DECIMAL}, -->
        #{item.RESULT_ID,jdbcType=VARCHAR},
<!--         #{item.CJSJ,jdbcType=TIMESTAMP}, -->
        #{item.MSG_CJSJ,jdbcType=TIMESTAMP},
        #{item.MSG_TYPE,jdbcType=VARCHAR},
        #{item.SEND_TIMES,jdbcType=VARCHAR},
        #{item.SEND_CYCLE,jdbcType=VARCHAR},
        #{item.WORKDAY,jdbcType=VARCHAR},
        #{item.OVER_TIME,jdbcType=VARCHAR},
        #{item.PHONENUMBER,jdbcType=VARCHAR},
        #{item.INPUT_TIME,jdbcType=TIMESTAMP},
        #{item.INDNAME,jdbcType=VARCHAR},
        #{item.STATUS,jdbcType=VARCHAR}
        from dual 
      </foreach> 
        A 
	</insert>

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

sigua0306
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
### Error updating database. Cause: java.sql.SQLException: sql injection violat, syntax error: TODO
mxs1226的博客
11-13 7851
修改 mapper.xml 报错 请求异常:parsererror出错了:有错误发生,但无法归类到某一更为具体的异常中 ### Error updating database. Cause: java.sql.SQLException: sql injection violation, syntax error: TODO : pos 166, line 11, column 24, token...
【mysqlError querying database. Cause: java.sql.SQLException: sql injection violation, comment not
掘金者说
01-08 1741
查询数据库时出错。原因:java.sql.sql异常:sql注入冲突,不允许注释遇到报错
Error updating database. Cause: java.sql.SQLIntegrityConstraintViolationException: Duplicate entry
最新发布
weixin_65287123的博客
05-22 413
时报以下错误,检查一下是否数据库中已经存在相同的数据,也就是说当前插入的数据,跟数据库中某个字段的数据冲突了。,而产生了冲突,我是上传文件产生的问题,从新设置id 从新上传就好了。这是因为SQL对应的表中的id设置了。
后台报错java.sql.SQLException: sql injection violation解决办法
波波豆奶
12-21 6252
错误:前台报错500,说明错误发生在后台; 后台报错: ### Error querying database. Cause: java.sql.SQLException: sql injection violation, syntax error: ERROR. pos 313, line 1, column 310, token AND : select count(0) from …… 原因:sql语句多写了个and…… ...
sql injection violation,syntax error,error in :‘x‘,expect IDENTIFIER,actual IDENTIFIER pos 2, line 1
ChuaWi98的博客
07-13 3611
Cause: java.sql.SQLException: sql injection violation, syntax error, error in :‘xxxxxx’, expect IDENTIFIER, actual IDENTIFIER pos 2, line 1, column 3, token IDENTIFIER xxx 仔细检查控制台或日志打印提示的地方,如上文报错’xxxxxx’的前后一个sql语句 出现类似的问题原因包含以下几种: 1、关键字冲突(在字段命名上与关键字一致) 2、多
Mybatis java.sql.SQLException: sql injection violation, syntax error: syntax error
qq_34412985的博客
08-17 1835
题中异常为:java.sql.SQLException: sql injection violation, syntax error: syntax error, expect RPAREN, actual IDENTIFIER t1 这是由于mybatis 防注入机制无法识别字符。所以可以将字符以括号的形式区分开来。 原SQL 修改 为 distinct (t1.codename) ...
Cause: java.sql.SQLException: sql injection violation, syntax error: ERROR. token : USE, pos : 229
微笑的花的博客
08-30 3016
11:32:23 [http-nio-8081-exec-1] ERROR c.k.c.exception.BDExceptionHandler - ### Error querying database. Cause: java.sql.SQLException: sql injection violation, syntax error: ERROR. token : USE, pos :...
java.sql.SQLException: 内部错误: Unable to construct a Datum from the specified input
01-21
Q: I am working with ... I am using updateBinaryStream method of resultset to update the BLOB field but it is failing after giving following exception java.sql.SQLException: Internal Error: Unable to
java.sql.SQLException: 结果集已耗尽
08-02
Java编程中,`java.sql.SQLException: 结果集已耗尽` 是一个常见的错误提示,通常出现在处理数据库查询结果集时。这个异常表明程序试图访问已经没有数据的结果集中下一行,即所有行已经被遍历完,尝试访问超出范围...
MySQL存储表情时报错:java.sql.SQLException: Incorrect string value:‘\xF0\x9F\x92\xA9\x0D\x0A…’的解决方法
12-16
本文主要介绍了关于MySQL存储表情报错:java.sql.SQLException: Incorrect string value: ‘\xF0\x9F\x92\xA9\x0D\x0A…’的相关解决方法,分享出供大家参考学习,下面话不多说了,来一起看看详细的介绍: ...
MySQL存储表情时报错:java.sql.SQLException: Incorrect string value:‘\xF0\x9F\x92\xA9\x0D\x0A...’的解决方法
08-27
主要给大家介绍了关于MySQL存储表情时报错:java.sql.SQLException: Incorrect string value: 'xF0x9Fx92xA9x0Dx0A...'的解决方法,文中通过示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。
java.sql.SQLException: null,  message from server: “Host ‘%’ is not allowed to connect to
12-14
java.sql.SQLException: null, message from server: “Host ‘223.72.41.7’ is not allowed to connect to this MySQL server” 客户端访问时报错: 解决方法: 1,登陆服务器 mysql> use mysql; //用mysql ...
Cause: java.sql.SQLException: sql injection violation, syntax error: ERROR. token CLOSE
wy15027539821的博客
04-30 5474
报错信息 Cause: java.sql.SQLException: sql injection violation, syntax error: ERROR. pos 39, line 2, column 24, token CLOSE,主要包括mysql报错:Cause: java.sql.SQLException: sql injection violation, syntax error:...
bug记录 mybaitis
weixin_39425852的博客
04-06 983
bug记录: java.sql.SQLException: sql injection violation, syntax error: syntax error, expect EQ, actual IDENTIFIER pos 258, line 8, column 15, token IDENTIFIER id : update rsv_production_data_copy1 set qdaily = ?, well_num = ?, daily_gas_production = ?, oil_p
使用Mybatis时由于粗心遇到Cause: java.sql.SQLException: sql injection violation异常
热门推荐
奔跑的蜗牛
03-17 2万+
使用Mybatis插入数据时,由于粗心书写错误导致出现Cause: java.sql.SQLException: sql injection violation异常,SQL语句如下: <insert id="insertProduct" parameterType="com.isoftstone.product.entity.ProductBean"> ...
【postgresqlsql injection violation, syntax error: syntax error, error in :‘imit 0, 10‘, expect CO
一个写了10年bug的程序员日常笔记。
09-26 1199
sql injection violation, syntax error: syntax error, error in :'imit 0, 10', expect COMMA, actual COMMA pos 242, line 5, column 40, token COMMA sql注入冲突,语法错误:语法错误,错误在:'mit 0,10',预期COMMA,实际COMMA位置242,第5行,第40列,标记COMMA
uncategorized SQLExceptionSQL state [null]; error code [0]; sql injection violation, syntax error
kay'blog
12-19 2万+
uncategorized SQLException; SQL state [null]; error code [0]; sql injection violation, syntax error: ERRORSQLException 摘要: 本次主要记录自己在项目中编写SQL的时候遇到的异常 uncategorized SQLException; SQL state [null]; error code [0]; sql injection violation, syntax error: ERROR
Oracle 在批量插入时报nested exception is java.sql.SQLException: sql injection violation
housen516210的博客
04-10 1217
Oracle 使用 druid 时,由于版本过低(1.0.16)报 nested exception is java.sql.SQLException: sql injection violation, class com.alibaba.druid.sql.dialect.oracle.ast.stmt.OracleBlockStatement not allow 批量插入数据: <insert id="11111" parameterType="java.util.ArrayList">
java.sql.SQLException: 无法转换为内部表示原因及解决办法
好记性不如烂笔头
09-29 2万+
今天在写完sql语句,运行时报如下错误: java.sql.SQLException: 无法转换为内部表示; 第一次遇到这个问题,反复查看sql,在pl/sql里运行sql语句都是正常的;查阅资料,才发现是自己将查询结果映射成vo对象时,数据类型不一致造成的。 问题原因: 数据库中字段类型和程序中该字段类型不一致。 比如程序将某字段当做Integer类型, 而数据库存储又使用另外一种类型,如Str...
java.sql.SQLException: sql injection violation, syntax error: syntax error, error in :' upms_envcomplaint.type =?
05-16
这个错误提示是 SQL 注入攻击的提示,可能是因为在 SQL 语句中使用了未经过滤的用户输入数据,导致语法错误。 要解决这个问题,可以采取以下措施: 1. 使用预编译语句,这样可以在执行 SQL 语句之前对输入参数进行验证和转义,避免 SQL 注入攻击。 2. 对用户输入数据进行过滤和验证,确保输入数据的格式和内容符合预期,避免恶意用户输入不合法的数据。 3. 对 SQL 语句进行优化和简化,尽量避免使用动态 SQL,减少 SQL 注入攻击的可能性。 4. 对数据库进行安全设置,限制用户的权限和访问范围,避免恶意用户利用 SQL 注入攻击获取敏感信息或者对数据库进行破坏。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值