碼上快樂

相關內容    簡體    繁體

Druid 的 WallFilter 拋出 sql injection violation, comment not allow 問題的解決方法

本文轉載自   查看原文   2019-12-02 17:49   5093 

ps:

    https://github.com/alibaba/druid/wiki/%E9%85%8D%E7%BD%AE-wallfilter可以對應修改參數。

    如需要執行多行語句 , 要設置multiStatementAllow為true

1 現象

查詢某個模塊數據時,拋出以下異常:

Caused by: java.sql.SQLException: sql injection violation, comment not allow : select count(*) FROM sys_x a WHERE 1=1 --澶囨敞 AND a.organization_id NOT IN( SELECT b.descendant_id FROM sys_y b WHERE b.path_length!=0) 
	at com.alibaba.druid.wall.WallFilter.checkInternal(WallFilter.java:800)
	at com.alibaba.druid.wall.WallFilter.connection_prepareStatement(WallFilter.java:251)
	at com.alibaba.druid.filter.FilterChainImpl.connection_prepareStatement(FilterChainImpl.java:473)
	at com.alibaba.druid.proxy.jdbc.ConnectionProxyImpl.prepareStatement(ConnectionProxyImpl.java:342)
	at com.alibaba.druid.pool.DruidPooledConnection.prepareStatement(DruidPooledConnection.java:349)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:498)
	at org.springframework.jdbc.datasource.TransactionAwareDataSourceProxy$TransactionAwareInvocationHandler.invoke(TransactionAwareDataSourceProxy.java:239)
	at com.sun.proxy.$Proxy23.prepareStatement(Unknown Source)
	at org.springframework.jdbc.core.PreparedStatementCreatorFactory$PreparedStatementCreatorImpl.createPreparedStatement(PreparedStatementCreatorFactory.java:245)
	at org.springframework.jdbc.core.JdbcTemplate.execute(JdbcTemplate.java:583)
	... 59 more
復制代碼

2 原因

  1. 在數據源配置時,加上了 Druid 的 wall 過濾器。而它默認的攔截策略是,不允許 SQL 中帶有備注。
  2. 在該條 SQL 語句中,果然加了備注。

3 解決

  1. 如果是新項目,SQL 語句較少,那么可以去除語句中的備注。
  2. 如果是老項目,那么就必須對 Druid 的 wall 過濾器進行配置,打開項目的 XML 配置文件,配置 druid 攔截過濾器,允許 SQL 語句中存在注釋:
<!--配置 druid 攔截過濾器-->
<bean id="wall-filter-config" class="com.alibaba.druid.wall.WallConfig" init-method="init">
	<!-- 是否允許語句中存在注釋-->
	<property name="commentAllow" value="true" />
</bean>
<bean id="wall-filter" class="com.alibaba.druid.wall.WallFilter">
	<property name="config" ref="wall-filter-config" />
</bean>
復制代碼

然后在 Druid 數據源配置中,加入 Druid 攔截過濾器:

<!--druid 數據源-->
<bean id="druidDataSource" class="com.alibaba.druid.pool.DruidDataSource">
	...
	<!--配置 Druid 過濾器-->
	<property name="proxyFilters">
		<list>
		        ...
			<ref bean="wall-filter"/>
		</list>
	</property>
        ...
</bean>
復制代碼

重啟應用,看看問題是不是已經解決啦O(∩_∩)O哈哈~


作者:deniro
鏈接:https://juejin.im/post/5d340af7e51d455d850d3baf
來源:掘金
著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載請注明出處。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 druid報異常 “sql injection violation, part alway true condition not allow”的解決方案 druid sql黑名單 報異常 sql injection violation, part alway true condition not allow druid連接池報錯:sql injection violation, multi-statement not allow mybatis 一次執行多條SQL MySql+Mybatis+Druid之SqlException:sql injection violation, multi-statement not allow JSON Injection解決方法 運行程序提示access violation at address的解決方法 IDEA拋出No bean named 'cacheManager' available解決方法 springboot springmvc 拋出全局異常解決方法 Chrome報錯:跨域問題處理( Access-Control-Allow-Origin)_ 用於本地測試的快捷解決方法 KEIL MDK access violation at 0x40021000 : no 'read' permission的一種解決方法
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM