sql injection violation, comment not allow...uncategorized SQLException for SQL []; SQL state [null]

最新推荐文章于 2024-06-26 09:36:19 发布
最新推荐文章于 2024-06-26 09:36:19 发布
阅读量7.2k 收藏 4
点赞数
分类专栏: 小坑 文章标签: Druid

使用durid连接池组件,执行sql时发现异常如下:

Caused by: java.sql.SQLException: sql injection violation, part alway true condition not allow : select t.id,t.name ,from sys_testt where (t.tid = 'sys' or ''='sys') and (t.tname like '%%' or ''='')
    at com.alibaba.druid.wall.WallFilter.check(WallFilter.java:714)
    at com.alibaba.druid.wall.WallFilter.connection_prepareStatement(WallFilter.java:240)
    at com.alibaba.druid.filter.FilterChainImpl.connection_prepareStatement(FilterChainImpl.java:448)
    at com.alibaba.druid.filter.FilterAdapter.connection_prepareStatement(FilterAdapter.java:928)
    at com.alibaba.druid.filter.FilterEventAdapter.connection_prepareStatement(FilterEventAdapter.java:122)
    at com.alibaba.druid.filter.FilterChainImpl.connection_prepareStatement(FilterChainImpl.java:448)
    at com.alibaba.druid.proxy.jdbc.ConnectionProxyImpl.prepareStatement(ConnectionProxyImpl.java:342)
    at com.alibaba.druid.pool.DruidPooledConnection.prepareStatement(DruidPooledConnection.java:318)
    at sun.reflect.GeneratedMethodAccessor26.invoke(Unknown Source)
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
    at java.lang.reflect.Method.invoke(Method.java:597)
    at com.jfinal.plugin.activerecord.SqlReporter.invoke(SqlReporter.java:72)
    at $Proxy5.prepareStatement(Unknown Source)
    at com.jfinal.plugin.activerecord.DbPro.find(DbPro.java:334)
    at com.jfinal.plugin.activerecord.DbPro.find(DbPro.java:349)
    ... 43 more

解决方案:这是参数filters捣的鬼

参数filters: 属性类型是字符串,通过别名的方式配置扩展插件,常用的插件有:
监控统计用的filter:stat

日志用的filter:log4j

防御sql注入的filter:wall。(问题就在这一句;mybatis 的mapper文件中SQL包含注释语句,例如:# 。。。 ; /*xxx*/等)

①: filters配置中 去掉 wall。

②:去掉SQL中的注释语句。

DruidDataSource配置属性列表:

DruidDataSource配置兼容DBCP,但个别配置的语意有所区别。

配置缺省值说明
name 配置这个属性的意义在于,如果存在多个数据源,监控的时候可以通过名字来区分开来。如果没有配置,将会生成一个名字,格式是:"DataSource-" + System.identityHashCode(this). 另外配置此属性至少在1.0.5版本中是不起作用的,强行设置name会出错。详情-点此处
url 连接数据库的url,不同数据库不一样。例如:
mysql : jdbc:mysql://10.20.153.104:3306/druid2
oracle : jdbc:oracle:thin:@10.20.149.85:1521:ocnauto
username 连接数据库的用户名
password 连接数据库的密码。如果你不希望密码直接写在配置文件中,可以使用ConfigFilter。详细看这里
driverClassName根据url自动识别这一项可配可不配,如果不配置druid会根据url自动识别dbType,然后选择相应的driverClassName
initialSize0初始化时建立物理连接的个数。初始化发生在显示调用init方法,或者第一次getConnection时
maxActive8最大连接池数量
maxIdle8已经不再使用,配置了也没效果
minIdle 最小连接池数量
maxWait 获取连接时最大等待时间,单位毫秒。配置了maxWait之后,缺省启用公平锁,并发效率会有所下降,如果需要可以通过配置useUnfairLock属性为true使用非公平锁。
poolPreparedStatementsfalse是否缓存preparedStatement,也就是PSCache。PSCache对支持游标的数据库性能提升巨大,比如说oracle。在mysql下建议关闭。
maxPoolPreparedStatementPerConnectionSize-1要启用PSCache,必须配置大于0,当大于0时,poolPreparedStatements自动触发修改为true。在Druid中,不会存在Oracle下PSCache占用内存过多的问题,可以把这个数值配置大一些,比如说100
validationQuery 用来检测连接是否有效的sql,要求是一个查询语句,常用select 'x'。如果validationQuery为null,testOnBorrow、testOnReturn、testWhileIdle都不会起作用。
validationQueryTimeout 单位:秒,检测连接是否有效的超时时间。底层调用jdbc Statement对象的void setQueryTimeout(int seconds)方法
testOnBorrowtrue申请连接时执行validationQuery检测连接是否有效,做了这个配置会降低性能。
testOnReturnfalse归还连接时执行validationQuery检测连接是否有效,做了这个配置会降低性能。
testWhileIdlefalse建议配置为true,不影响性能,并且保证安全性。申请连接的时候检测,如果空闲时间大于timeBetweenEvictionRunsMillis,执行validationQuery检测连接是否有效。
keepAlivefalse
(1.0.28)		连接池中的minIdle数量以内的连接,空闲时间超过minEvictableIdleTimeMillis,则会执行keepAlive操作。
timeBetweenEvictionRunsMillis1分钟(1.0.14)有两个含义:
1) Destroy线程会检测连接的间隔时间,如果连接空闲时间大于等于minEvictableIdleTimeMillis则关闭物理连接。
2) testWhileIdle的判断依据,详细看testWhileIdle属性的说明
numTestsPerEvictionRun30分钟(1.0.14)不再使用,一个DruidDataSource只支持一个EvictionRun
minEvictableIdleTimeMillis 连接保持空闲而不被驱逐的最小时间
connectionInitSqls 物理连接初始化的时候执行的sql
exceptionSorter根据dbType自动识别当数据库抛出一些不可恢复的异常时,抛弃连接
filters 属性类型是字符串,通过别名的方式配置扩展插件,常用的插件有:
监控统计用的filter:stat
日志用的filter:log4j
防御sql注入的filter:wall
proxyFilters 类型是List<com.alibaba.druid.filter.Filter>,如果同时配置了filters和proxyFilters,是组合关系,并非替换关系

转载原文:druid报异常 “sql injection violation, part alway true condition not allow”的解决方案

                  DruidDataSource配置属性列表

 

起风了_ZXJ
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
uncategorized SQLExceptionSQL state [null]; error code [0]; sql injection violation, syntax error
bsegebr的博客
07-29 1万+
本次主要记录自己在项目中编写SQL的时候遇到的异常uncategorizedSQLException;SQLstate[null];errorcode[0];sqlinjectionviolation,syntaxerrorERROR.pos117,line2,column111…1。
SQL Prompt_9.1.12.5083破解版
05-18
SP-6957 : SELECT NULL produces a scalar value, so it shouldn't be considered as a EI003 violation. SP-6960 : Fixed two out of memory crashes in code analysis processing of large scripts (20+Mb). See ...
uncategorized SQLExceptionSQL state [null]; error code [0]; sql injection violation, comment not a
xjhqre的博客
10-25 980
在mybatis里不能使用。
SQL查询报错:SQLException: sql injection violation, part alway true condition not allow
weixin_52116015的博客
06-26 323
SQL查询报错:SQLException: sql injection violation, part alway true condition not allow
Druid 之 java.sql.SQLException: sql injection violation
热门推荐
不积跬步 无以至千里
07-08 2万+
当我们在项目中使用了druid连接池进行数据源的管理,并且配置了如下监控spring.datasource.filters: stat,wall,log4j在执行程序拼接的SQL时,xml中使用的是${sql}进行执行的,这种方式会报如下错误:2018-07-08 15:09:04.826 [http-nio-7073-exec-1] ERROR o.a.c.c.C.[.[localhost].[...
Oracle Caused by: java.sql.SQLException: sql injection violation, syntax error: syntax error, expect
爱的叹息的专栏
05-09 1万+
参考:https://blog.csdn.net/qq_36326332/article/details/102938147 https://blog.csdn.net/fly_captain/article/details/82144789 一、mybatis的sql信息 select model.WIRE_MODEL from IDS_WIRE_MODEL model left join IDS_SIGNAL_TYPE type on model.SIG
mybatis的使用及源码分析(七) mybatis批量执行SQL踩坑
文若书生的专栏
08-14 734
配置mybatis批量执行SQL时遇到了几个坑 1、配置执行函数 想法是通过传入一个SQL数组,实现SQL的批量执行,类似JDBC statement的executeBatch,这里通过注解的方式封装了一个通用类 @Update("<script><foreach close=\"\" collection=\"sqls\" index=\"index\" item=\"item\" open=\"\" separator=\";\"> " + " .
解决SpringBoot+Druid+Mybatis Plus 执行MySQL批量插入,更新 报错的问题
技术博客
06-10 6275
项目实际开发中,使用到了MySQL批量插入的语法,在MySQL中执行成功后,移植到项目时发生了问题,语句如下: REPLACE INTO table1( id, works_fusion_id, statistics_date, chapter_number, new_chapter, works_hot, works_like_number, ...
Spring Boot实践--Druid连接池配置和监控
weixin_34082177的博客
05-02 165
2019独角兽企业重金招聘Python工程师标准>>> ...
java mysql druid mybatis-plus里使用多表删除出错的一种处理方式
宁波阿成的博客
08-19 651
java mysql druid mybatis-plus里使用多表删除出错的一种处理方式
sql injection SQL注入解析 和解决方案
02-05
### SQL注入解析与解决方案 #### 一、SQL注入概述 SQL注入是一种常见的Web应用程序安全漏洞,攻击者通过向Web应用程序的输入字段注入恶意SQL代码,从而控制或操纵数据库的行为。这种攻击方式通常发生在应用程序未...
解决Delphi编译慢,Access violation报错 RLINK32 RLINK32.DLL出错,内存泄漏
09-13
Delphi 6或Delphi 7编译工程的时候,经常会碰到提示Internal error:LA30、Access violation at address xxxxxxxx in module ‘RLINK32.DLL‘错误,多试几次可能就成功了,原因是DLL版本太老了, 直接把资料里边 ...
什么是SQL中的“ try catch”的PostgreSQL等效项
04-07
SQL语言中,"TRY...CATCH"结构用于处理可能出现的运行时错误,它允许开发者在发生错误时优雅地捕获并处理异常,而不会导致整个程序崩溃。然而,SQL标准并没有内置这种机制,而是由各个数据库管理系统(DBMS)根据...
Access violation at address 00000000.Read of adress 00000000解决方法
12-19
### Access Violation at Address 00000000 - 解决方法 在软件开发与维护过程中,遇到“Access violation at address 00000000.Read of adress 00000000”这类错误是常见的问题之一。这种类型的错误通常发生在程序...
qt练习控件label控件-lineEdit控件样例代码
最新发布
07-30
qt练习控件label控件-lineEdit控件样例代码
【JCR一区级】麻雀搜索算法SSA-CNN-LSTM-Attention故障诊断分类预测【含源码 5689期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Attention分类系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Attention分类 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Attention分类 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Attention分类 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Attention分类 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Attention分类
详解MATLAB Simulink通信系统建模与仿真
07-30
第1 章 MATLAB 基础与通信系统仿真 1.1 MATLAB 简介 1.2 MATLAB 程序设计 1.3 通信系统仿真 第2 章 Simulink 仿真基础 2.1 Simulink 简介 2.2 Simulink 工作环境 2.3 Simulink 仿真的基本方法 2.4 创建自己的模块库 2.5 S-函数的编写 第3 章 通信信号与系统分析 3.1 离散信号和系统 3.2 Fourier 分析 3.3 带通信号的低通等效 3.4 随机信号分析 第4 章 信道 4.1 加性高斯白噪声信道 4.2 多径衰落信道 第5 章 模拟调制 5.1 幅度调制 5.2 角度调制 第6 章 数字基带传输 6.1 概述 6.2 二进制基带信号传输 6.3 基带PAM 信号传输 6.4 带限信道的信号传输 第7 章 数字信号载波传输 7.1 概述 7.2 载波幅度调制(PAM) 7.3 载波相位调制(PSK) 7.4 正交幅度调制(QAM) 7.5 载波频率调制(FSK) 第8 章 信道编码和交织 8.1 概述 8.2 线性分组码
SCI一区】淘金算法GRO-CNN-BiLSTM-Mutilhead-Attention多变量时序预测含源码 5642.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-BiLSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-BiLSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-BiLSTM-Mutilhead-Attention回归预测
Error querying database. Cause: java.sql.SQLException: sql injection violation, comment not allow
12-21
根据提供的引用内容,您遇到的问题是数据库查询错误,具体原因是java.sql.SQLException: sql注入违规,不允许使用注释。为了解决这个问题,您可以采取以下措施: 1. 避免使用注释:在编写SQL查询语句时,确保不使用注释。注释可能会导致语法错误,从而引发异常。请检查您的查询语句,确保没有使用注释。 2. 使用参数化查询:为了防止SQL注入攻击,建议使用参数化查询。参数化查询可以将用户输入的值作为参数传递给查询语句,而不是将其直接拼接到查询语句中。这样可以有效地防止恶意用户通过输入特殊字符来破坏查询语句的结构。 3. 检查数据库对象是否存在:如果您在查询中引用了数据库对象(例如表、视图、存储过程等),请确保这些对象确实存在于数据库中。如果对象不存在,将会引发异常。您可以通过检查数据库中的对象列表或与数据库管理员联系来确认对象是否存在。 下面是一个示例代码,演示了如何避免注释并使用参数化查询来执行数据库查询: ```java String sql = "SELECT * FROM users WHERE username = ?"; PreparedStatement statement = connection.prepareStatement(sql); statement.setString(1, username); // 将用户输入的值作为参数传递给查询语句 ResultSet resultSet = statement.executeQuery(); // 处理查询结果 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值