【Java.sql.SQLException: sql injection violation,patrt alway false condition not allow异常】

原创 已于 2023-01-27 22:16:43 修改 · 555 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #数据库 #java

于 2023-01-08 12:11:28 首次发布
文章讨论了在Java编程中遇到的SQL注入异常,具体表现为WHERE1=0被转换为不合法的XML实体1<![CDATA[]>]1,导致错误。解决方案可能涉及修正SQL查询的构建方式,避免使用易引发注入的静态条件,并加强输入验证以提高安全性。

java.sql.SQLException: sql injection violation,patrt alway false condition not allow异常

SQL中有行代码为了过滤写了句

WHERE 1=0

转换成

1<![CDATA<>]>1

问题解决

java.sql.SQLException: null,  message from server: “Host ‘%’ is not allowed to connect to
12-14
java.sql.SQLException: null, message from server: “Host ‘223.72.41.7’ is not allowed to connect to this MySQL server” 客户端访问时报错: 解决方法: 1,登陆服务器 mysql> use mysql; //用mysql ...
出现 nested exception is java.sql.SQLException: 无效的列类型 的解决方法
码农研究僧的博客
06-29 3406
SQL state [99999]; error code [17004]; 无效的列类型; nested exception is java.sql.SQLException: 无效的列类型
解决Cause: java.sql.SQLException: sql injection violation, dbType mysql ... token IDENTIFIER deleted错误
念兮为美
03-21 1万+
Cause: java.sql.SQLException: sql injection violation, dbType mysql, , druid-version 1.2.11, syntax error: not supported.pos 86, line 1, column 79, token IDENTIFIER deleted : xxx详细的解决方法以及建表的命名规范。
MySql java.sql.SQLException: sql injection violation, part alway false condition not allow异常简单处理方式
d2yml123的博客
01-26 4993
sql语法正常下 进行拼接sql语句时出现类似&quot;1=1&quot;等代码前面出现 and 或 or 时会被认为是sql注入 解决方案 一. 使用表名点字段名 members.name 二. 字段名添加&quot;`&quot;符号 `name` ...
java.sql.SQLException: sql injection violation, part alway false condition not allow
shenya2的专栏
07-23 3万+
错误截图: 百度解释是防止sql注入,百度有的说是去掉druid里面filters里面的wall可以解决问题。但本人觉得这个方案有点难以接受。经测试发现如下原因会触发该bug: 截图sql: 在我的代码里面,“1=1”和“1=0”前面有“AND”关键字,这种情况下会被识别成sql注入。正确写法如下: 注:以上是本人测试到的一种情况,不能以偏概全!!!...
Druid sql injection violation, part alway false condition not allow
wiki_niki的博客
05-04 5836
在使用druid的时候很简单的一条sql报了错,如下 select &lt;include refid="Base_Column_List"/&gt; from sys_user_identity where user_id = #{userId} and is_deleted = '0' and 'identity' = 274 报错信息如下 ### Erro...
sql injection violation, part alway false condition not allow
飞翔的空指针的博客
04-26 6070
今天做需求碰到了这个问题,sql injection violation, part alway false condition not allow,有的说改druid配置文件,将filters中的wall 选项给去掉,但是想想不靠谱,后来解决了。将不等于用 <![CDATA[ <> ]]> 代替,完美解决。1<![CDATA[ <> ]]>1 比 ...
ava.sql.SQLException: sql injection violation, multi-statement not allow
高山仰止,景行行止
07-20 730
mapper.xml中的sql: <update id="updateBatchCardNumber" parameterType="java.util.List"> <foreach collection="list" index="index" item="item" open="" separator=";" close=""> update apply_user <set>
【mysql】Error querying database. Cause: java.sql.SQLException: sql injection violation, comment not
掘金者说
01-08 2827
查询数据库时出错。原因:java.sql.sql异常sql注入冲突,不允许注释遇到报错
part alway false condition not allow mybatis报错解决
u010509143的专栏
12-03 3614
sql injection violation, part alway false condition not allow mybatis,代码写的是and 1!=1,报错,sql injection violation, part alway false condition not allow,将不等于用 <![CDATA[ <> ]]> 代替,完美解决。1<![CDATA[ <> ]]>1 比 1!=1 好使,不报错了! ...
java.sql.SQLException: sql injection violation
编程副队长
12-10 2万+
坑的外观 提示如下: Caused by: java.sql.SQLException: sql injection violation, syntax error: error pos 18, line 1, column 12, token EXCEPT : insert into 问题分析 之前遇到过类似的错误,提示也是sql injection violation,字面理解就是sql...
Cause: java.sql.SQLException: sql injection violation, comment not allow异常问题处理
sinat_39488150的博客
01-03 715
2、在数据源配置时,加上了 Druid 的 wall 过滤器。而它默认的拦截策略是,不允许 SQL 中带有备注,可修改Druid过滤器配置,去除wall。我的错误原因是没有配置druid参数信息,估计是容器平台升级了安全策略,不配置默认安全策略最高,所以配置了druid参数后不再报错。1、安全策略检验sql注入,禁止sql中的注释信息存在,删除注释信息。
Caused by: java.sql.SQLException: sql injection violation, comment not allow 问题处理
weixin_42422126的博客
07-12 1568
一个老项目,调用接口异常发现org.hibernate.exception.GenericJDBCException: could not prepare statement 错误,往下找到原因是sql有注释。把/*'*/注释去掉;注意去掉之后 @rownum :=@rownum 的 := 需要转义。
java.sql.SQLException: sql injection violation 错误记录
VidaCanawe的博客
12-05 1500
mybatis sql 错误记录 网上有很多这个错的解释但我这个就是有点离谱! 1.找问题 ①sql语句本身在数据库试一遍,再在xml试一遍,检查sql有无写错,少没少连接符,多没多杀符号 ②简化sql ③查看时否配置不全 2.确定问题 我是sql除了问题,我们是mybatis+sprinboot+orcale,添加语句报错, 我写的sql用了insert 和with as 和 select连用,sql语句在数据库好使,但xml报错,问题所在是with as 是生成一个临时的视图,select 又查了一
SQL报错:java.sql.SQLException: sql injection violation, dbType mysql
热门推荐
SSHLY3的博客
11-16 5万+
1. 报错信息 提示如下: Caused by: java.sql.SQLException: sql injection violation, syntax error: error pos 18, line 1, column 12, token EXCEPT : insert into 1 2. 问题分析 之前遇到过类似的错误,提示也是sql injection violation,字面理解就是sql注入错误,也就是说sql不对。 经常性是因为一些列名被怀疑是sql注入被拒绝,但是此次搞了...
java.sql.SQLException: sql injection violation, alter table not allow :
m0_51965553的博客
09-23 438
当前业务是动态修改表名,表字段等信息,各种方法都试过了,在控制台打印的sql数据库中能正常执行,但是一到程序中就不好使.最终搞了一天发现是mybatis的配置问题,把这个配置改成false就好了。
Cause: java.sql.SQLException: sql injection violation, syntax error: syntax error, expect ‘)‘
m0_48120149的博客
02-07 5620
Cause: java.sql.SQLException: sql injection violation, syntax error: syntax error, expect ')' 使用 mybatis-plus insert 出现 : Cause: java.sql.SQLException: sql injection violation, syntax error: syntax error, expect ')' 原因:传递的参数所有都为 null 时 ,那么SQL在insert时就无法
SQL查询报错:SQLException: sql injection violation, part alway true condition not allow
weixin_52116015的博客
06-26 976
SQL查询报错:SQLException: sql injection violation, part alway true condition not allow
java.sql.SQLException: sql injection violation, part alway true condition not allow
Pro_Mophy的博客
03-01 7648
java.sql.SQLException: sql injection violation, part alway true condition not allow : select sendsmsrec0_.id as id1_97_, sendsmsrec0_.create_at as create_a2_97_, sendsmsrec0_.create_by as create_b3_97...
Caused by: java.sql.SQLException: sql injection violation, dbType oceanbase, druid-version 1.2.24, update alway true condition not allow
最新发布
08-09
在使用 Druid 连接池与 OceanBase 数据库时,出现 `java.sql.SQLException: sql injection violation, dbType oceanbase` 错误,通常是因为 Druid 的 **WallFilter** 拦截了某些 SQL 语句,认为其存在潜在的 SQL 注入风险。Druid 的 WallFilter 是一种安全机制,用于防止恶意 SQL 注入攻击,尤其在使用某些数据库(如 OceanBase)时,其默认规则可能对某些合法的 SQL 语句过于敏感,导致误判。 ### 错误原因分析 1. **SQL 注入检查规则严格** Druid 默认的 SQL 注入检查规则可能不允许某些语法结构,例如: - 使用 SQL 注释(如 `--` 或 `/* */`)。 - 使用某些特定的函数或表达式(如 `DATE_FORMAT`、`BETWEEN` 等)。 - 使用 `1=1` 或 `1=0` 之类的恒真或恒假条件。 - 使用 `UPDATE` 或 `DELETE` 语句中未指定 `WHERE` 条件的情况。 2. **OceanBase 数据库特定语法支持问题** OceanBase 在某些语法结构上与 MySQL 存在差异,而 Druid 的 WallFilter 默认配置可能未完全适配 OceanBase 的语法规则,导致误判。 3. **版本兼容性问题** 当前使用的 Druid 版本为 `1.2.24`,可能存在与 OceanBase 数据库兼容性方面的限制。建议检查是否有更新版本修复了相关问题。 ### 解决方案 #### 1. 调整 WallFilter 的过滤规则 可以通过配置 WallFilter 的策略,允许某些特定的 SQL 结构通过检查。例如: ```java @Bean public DataSource dataSource() { DruidDataSource dataSource = DruidDataSourceBuilder.create().build(); dataSource.setFilters("wall,stat"); // 配置 WallFilter 策略 WallConfig wallConfig = new WallConfig(); wallConfig.setUpdateAllow(true); // 允许 UPDATE 语句 wallConfig.setDeleteAllow(true); // 允许 DELETE 语句 wallConfig.setSelectIntoAllow(true); // 允许 SELECT INTO 语句 wallConfig.setConditionAndAlwayTrueAllow(true); // 允许 1=1 之类的恒真条件 wallConfig.setCommentAllow(true); // 允许 SQL 注释 dataSource.getProxyFilters().add(new WallFilter()); ((WallFilter) dataSource.getProxyFilters().get(1)).setConfig(wallConfig); return dataSource; } ``` #### 2. 禁用 WallFilter(不推荐) 如果确认 SQL 语句不存在注入风险,可以选择禁用 WallFilter: ```java dataSource.setFilters("stat"); // 去掉 wall ``` #### 3. 检查 SQL 语句结构 确保 SQL 语句不包含容易被误判的结构,例如: - 避免使用 `1=1` 作为恒真条件,改用动态 SQL 构建查询条件。 - 避免在 SQL 中使用不必要的注释。 - 避免使用不兼容 OceanBase 的函数或语法。 #### 4. 升级 Druid 版本 检查是否有更高版本的 Druid(如 `1.2.28` 或以上)解决了与 OceanBase 的兼容性问题。可以参考 [Druid 官方 GitHub](https://github.com/alibaba/druid) 获取最新版本信息。 ### 示例:动态构建查询条件避免恒真条件 ```sql -- 原始语句 SELECT * FROM orders WHERE 1=1 AND status = 'completed'; -- 改进后 SELECT * FROM orders WHERE status = 'completed'; ``` ### 示例:避免使用 SQL 注释 ```sql -- 不推荐 SELECT * FROM users WHERE id = 1 -- This is a comment; -- 推荐 SELECT * FROM users WHERE id = 1; ``` ### 示例:使用 BETWEEN 替代 DATE_FORMAT ```sql -- 原始语句 AND DATE_FORMAT(CREATE_TIME,'%Y%m%d') = #{configDate} -- 改进后 AND CREATE_TIME BETWEEN '2023-12-19 00:00:00' AND '2023-12-19 23:59:59' ``` ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李钠钾铷铯钫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值