java.sql.SQLException: sql injection violation, part alway true condition not allow

最新推荐文章于 2023-07-19 20:18:17 发布
最新推荐文章于 2023-07-19 20:18:17 发布
阅读量3.5k 收藏 1
点赞数
分类专栏: Mybatis Mysql 文章标签: mysql mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43948683/article/details/106644820
版权

这是我在思考调试sql注入出现的小bug
在这里插入图片描述
打印出来的SQL语句放在数据库执行

select id,name,age,phone from yu_student         where phone = '123' or 1=1

运行结果
在这里插入图片描述

sql语句没有问题,为什么java程序会报错呢

错误内容是druid的sql防火墙报警,发现是hibernate自动拼接了1=1的永真条件,而druid只会放行排在第一的永真条件
查看hibernate源代码后发现,当引用Junction生成sql时,如果条件为空,则会自动拼接1=1的永真条件。

解决办法也很简单,修改自己的代码,将引用junction的条件拼接放在第一位即可
代码如图所示

 try (SqlSession sqlSession = sqlSessionFactory.openSession()) {
            StudentMapper studentMapper = sqlSession.getMapper(StudentMapper.class);
            String abc = "1=1 or "+"'123'";
            String ad = "'123'"+" or 1=1";
            System.out.println(studentMapper.getOne1(abc));
            //System.out.println(studentMapper.getOne1(ad));
        }

一开始我们执行的是System.out.println(studentMapper.getOne1(ad));
现在我们执行 System.out.println(studentMapper.getOne1(abc));
在这里插入图片描述
相关代码
xml文件

<select id="getOne1" resultMap="BaseResultMap">
    select id,name,age,phone from yu_student
    where phone = ${phone}
</select>

mapper接口

   List<Student> getOne1(@Param(value = "phone") String phone);

为何会出现SQL注入 原因以及解决方案请看我相关文章

奔跑的钰神
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java.sql.SQLException: 内部错误: Unable to construct a Datum from the specified input
01-21
Q: I am working with ... I am using updateBinaryStream method of resultset to update the BLOB field but it is failing after giving following exception java.sql.SQLException: Internal Error: Unable to
java.sql.SQLException: 结果集已耗尽
08-02
Java编程中,`java.sql.SQLException: 结果集已耗尽` 是一个常见的错误提示,通常出现在处理数据库查询结果集时。这个异常表明程序试图访问已经没有数据的结果集中下一行,即所有行已经被遍历完,尝试访问超出范围...
java.sql.SQLException: sql injection violation
程序员大阳
12-10 2万+
坑的外观 提示如下: Caused by: java.sql.SQLException: sql injection violation, syntax error: error pos 18, line 1, column 12, token EXCEPT : insert into 问题分析 之前遇到过类似的错误,提示也是sql injection violation,字面理解就是sql注...
解决Cause: java.sql.SQLException: sql injection violation, dbType mysql ... token IDENTIFIER deleted错误
念兮为美
03-21 7980
Cause: java.sql.SQLException: sql injection violation, dbType mysql, , druid-version 1.2.11, syntax error: not supported.pos 86, line 1, column 79, token IDENTIFIER deleted : xxx详细的解决方法以及建表的命名规范。
druid报异常 “sql injection violation, part alway true condition not allow”的解决方案
w36680130的博客
11-07 2683
druid报异常 “sql injection violation, part alway true condition not allow”的解决方案
Druid-排查conditionDoubleConstAllow配置问题(double const condition)
meimonkey的专栏
07-19 1632
Druid-排查conditionDoubleConstAllow配置问题(double const condition)
java.sql.SQLException: null,  message from server: “Host ‘%’ is not allowed to connect to
12-14
java.sql.SQLException: null, message from server: “Host ‘223.72.41.7’ is not allowed to connect to this MySQL server” 客户端访问时报错: 解决方法: 1,登陆服务器 mysql> use mysql; //用mysql ...
MySQL存储表情时报错:java.sql.SQLException: Incorrect string value:‘\xF0\x9F\x92\xA9\x0D\x0A…’的解决方法
12-16
本文主要介绍了关于MySQL存储表情报错:java.sql.SQLException: Incorrect string value: ‘\xF0\x9F\x92\xA9\x0D\x0A…’的相关解决方法,分享出供大家参考学习,下面话不多说了,来一起看看详细的介绍: ...
MySQL存储表情时报错:java.sql.SQLException: Incorrect string value:‘\xF0\x9F\x92\xA9\x0D\x0A...’的解决方法
08-27
主要给大家介绍了关于MySQL存储表情时报错:java.sql.SQLException: Incorrect string value: 'xF0x9Fx92xA9x0Dx0A...'的解决方法,文中通过示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。
java.sql.SQLException: sql injection violation 错误记录
VidaCanawe的博客
12-05 1058
mybatis sql 错误记录 网上有很多这个错的解释但我这个就是有点离谱! 1.找问题 ①sql语句本身在数据库试一遍,再在xml试一遍,检查sql有无写错,少没少连接符,多没多杀符号 ②简化sql ③查看时否配置不全 2.确定问题 我是sql除了问题,我们是mybatis+sprinboot+orcale,添加语句报错, 我写的sql用了insert 和with as 和 select连用,sql语句在数据库好使,但xml报错,问题所在是with as 是生成一个临时的视图,select 又查了一
oracle Cause: java.sql.SQLException: sql injection violation, deny object : dbms_random
赫本的粉丝的博客
05-16 1063
!!
mysql报错:Cause: java.sql.SQLException: sql injection violation, syntax error: syntax error, error in
27号白开水的博客
07-15 8437
错误描述: Error updating database.Cause: java.sql.SQLException: sql injection violation, syntax error: syntax error, error in :' uuid_filename = ? ', expect IDENTIFIER, actual IDENTIFIER pos 260, line 11, column 35, token IDENTIFIER uuid_file.
Caused by: java.sql.SQLException: sql injection violation, syntax error: ERROR. token : DESC
热门推荐
duantianya2012的博客
01-16 8万+
Caused by: java.sql.SQLException: sql injection violation, syntax error: ERROR. token : DESC, pos : 47 : SELECT id,odbcconfig,ip,port,user,password,desc  FROM hh_config.hh_dbconfig 问题在于DESC是sql的自有字
Caused by: java.sql.SQLException: sql injection violation, comment not allow 问题处理
weixin_42422126的博客
07-12 993
一个老项目,调用接口异常发现org.hibernate.exception.GenericJDBCException: could not prepare statement 错误,往下找到原因是sql有注释。把/*'*/注释去掉;注意去掉之后 @rownum :=@rownum 的 := 需要转义。
Oracle 在批量插入时报nested exception is java.sql.SQLException: sql injection violation
housen516210的博客
04-10 1212
Oracle 使用 druid 时,由于版本过低(1.0.16)报 nested exception is java.sql.SQLException: sql injection violation, class com.alibaba.druid.sql.dialect.oracle.ast.stmt.OracleBlockStatement not allow 批量插入数据: <insert id="11111" parameterType="java.util.ArrayList">
java.sql.SQLException: sql injection violation, part alway false condition not allow
shenya2的专栏
07-23 3万+
错误截图: 百度解释是防止sql注入,百度有的说是去掉druid里面filters里面的wall可以解决问题。但本人觉得这个方案有点难以接受。经测试发现如下原因会触发该bug: 截图sql: 在我的代码里面,“1=1”和“1=0”前面有“AND”关键字,这种情况下会被识别成sql注入。正确写法如下: 注:以上是本人测试到的一种情况,不能以偏概全!!!...
后台报错java.sql.SQLException: sql injection violation解决办法
波波豆奶
12-21 6230
错误:前台报错500,说明错误发生在后台; 后台报错: ### Error querying database. Cause: java.sql.SQLException: sql injection violation, syntax error: ERROR. pos 313, line 1, column 310, token AND : select count(0) from …… 原因:sql语句多写了个and…… ...
解决——》java.sql.SQLException: sql injection violation, multi-statement not allow
小仙~
11-14 1万+
版权声明:本文为博主原创文章,无需授权即可转载,甚至无需保留以上版权声明,转载时请务必注明作者。 https://blog.csdn.net/weixin_43453386/article/details/83823071 解决——java.sql.SQLException: sql injection violation, multi-statement not allow1、操作2、现象(错误...
Error querying database. Cause: java.sql.SQLException: sql injection violation, comment not allow
最新发布
12-21
根据提供的引用内容,您遇到的问题是数据库查询错误,具体原因是java.sql.SQLException: sql注入违规,不允许使用注释。为了解决这个问题,您可以采取以下措施: 1. 避免使用注释:在编写SQL查询语句时,确保不使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值