druid检查sql注入时报 sql injection violation, syntax error:expect RPAREN, actual IDENTIFIER token INTEGER

最新推荐文章于 2023-12-28 20:05:45 发布
原创 最新推荐文章于 2023-12-28 20:05:45 发布 · 4.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #mysql #druid #mybatis

本文解决了一个因SQL注入引发的语法错误问题,通过调整SQL语句中的参数类型,成功避免了INTEGER标识符引起的语法错误,确保了数据库查询的正确性和安全性。

Caused by: java.sql.SQLException: sql injection violation, syntax error: syntax error, expect RPAREN, actual IDENTIFIER pos 429, line 20, column 79, token IDENTIFIER INTEGER : SELECT

A .SYS_CODE,                              
               ifnull(SUM(tnm),'0') TNM
               
        FROM
            (
                SELECT
                    r.SYS_CODE,
                    cps.PROBLEM_ID,
                    cps.QUESTION_NM TNM,
                    cps.QUESTION_TO_BE_SOLVE BSO
                FROM
                t_dq_check_rule r
                LEFT JOIN t_dq_check_problem_sum cps ON r.CHECK_RULE_ID = cps.CHECK_RULE_ID
                WHERE                        
            date_format(cps.start_dt,'%Y-%m-%d') >= date_format(now()-cast(? AS SIGNED INTEGER),'%Y-%m-%d')                      
                AND r.SYS_CODE = ?
            
            ) A
        GROUP BY
            A .SYS_CODE
        ORDER BY
            A .SYS_CODE

结果改成date_format(cps.start_dt,'%Y-%m-%d') >= date_format(now()-cast(? AS SIGNED),'%Y-%m-%d')将其中的INTEGER去掉就可以了

出现 sql injection violation, dbType mysql, druid-version 1.2.22, syntax error: not supported 解决方法
码农研究僧的博客
11-18 2654
一开始Sql是可以执行的,后续集成某个报表的时候,引入Druid了,导致原先的Sql语句不能执行了 (先确保自身的Sql代码可以执行!)
解决Cause: java.sql.SQLException: sql injection violation, dbType mysql ... token IDENTIFIER deleted错误
念兮为美
03-21 1万+
Cause: java.sql.SQLException: sql injection violation, dbType mysql, , druid-version 1.2.11, syntax error: not supported.pos 86, line 1, column 79, token IDENTIFIER deleted : xxx详细的解决方法以及建表的命名规范。
sql injection violation, dbType mysql, druid-version 1.2.5, multi-statement not allow : UPDAT
热门推荐
好俗好麻烦的博客
03-25 1万+
报错信息 Caused by: java.sql.SQLException: sql injection violation, multi-statement not allow : UPDATE xxx表名 错误原因分析 违反sql注入:批量的操作不被允许 Druid的防火墙配置(Wall)中变量multiStatementAllow默认为false,导致被拦截 解决方式 方法一:修改连接字符串并且新增配置类 ① // 增加 allowMultiQueries=true // 例 spring:
Mybatis报错:sql injection violation, syntax error: syntax error, expect RPAREN, actual FOR FOR
qq_37634156的博客
02-12 3347
sql语句放在navicate中可以正常执行,但是在MyBatis中则报上述错误,sql语句如下: SELECT SUBSTR( a.date FROM 6 FOR 7 ) AS date, a.consumption FROM ( SELECT DATE_FORMAT( date( e.COLLECT_TIME ), '%Y-%m' ) AS date, sum( e.PAP_R_I ) AS consumption FROM ec_electric_value e WHERE 1
Mybatis java.sql.SQLException: sql injection violation, syntax error: syntax error
qq_34412985的博客
08-17 1957
题中异常为:java.sql.SQLException: sql injection violation, syntax error: syntax error, expect RPAREN, actual IDENTIFIER t1 这是由于mybatis注入机制无法识别字符。所以可以将字符以括号的形式区分开来。 原SQL 修改 为 distinct (t1.codename) ...
【postgresqlsql injection violation, syntax error: syntax error, error in :‘imit 0, 10‘, expect CO
一个写了10年bug的程序员日常笔记。
09-26 1968
sql injection violation, syntax error: syntax error, error in :'imit 0, 10', expect COMMA, actual COMMA pos 242, line 5, column 40, token COMMA sql注入冲突,语法错误:语法错误,错误在:'mit 0,10',预期COMMA,实际COMMA位置242,第5行,第40列,标记COMMA
Fowable oracle 数据库时 报错 sql injection violation, syntax error, expect DIMENSION, actual COMMA 错误
06-08 452
java.sql.SQLException: sql injection violation, syntax error, expect DIMENSION, actual COMMA : select a.material_type num,d.text material_type, c.equipment_model model ,c.serial_number from mv_spm_spt_material_info a, t_ept_config b, t_ept_base_info ...
dbType postgresql, , druid-version 1.2.5, syntax error: syntax error, error in :‘desc LIMIT ?,?,
有时间可以指导毕业设计,可以私聊我。一个热爱编程的smallCuteMonkey,可以私信我
11-30 1544
postgresql整合MybatisPlus
sql injection violation, syntax error: syntax error, expect RPAREN, actual.......
qq_40725195的博客
09-15 8873
检查一下代码中有没有多余的符号,例如我的子查询后面多了个分号,就报错了。 去掉就ok了。
遇见sql语句拼装报错 sql injection violation, syntax error: syntax error, expect RPAREN
weixin_56289362的博客
12-28 1320
在使用PostgreSql瀚高数据库时,相同的语句 select * from public.files_info fi where fi.file_size notnull 在DBever能执行,但是在spring中报错。在spring中JPA版本问题导致,不支持这种写法,会识别为sql注入风险,应该为is not null ,类似isnull 也必须改为 is null。
mybatis语法错之sql injection violation, syntax error: syntax error, expect RPAREN, actual FOR FOR
nailsoul的专栏
03-09 1万+
背景 mybatis执行sql正常返回数据 但是又报了错 InteractAspect errInfo:org.springframework.jdbc.UncategorizedSQLException: ### Error querying database. Cause: java.sql.SQLException: sql injection violation, syntax e...
Mysql查询没问题Mybatis就报错syntax error, expect RPAREN,解决方案
u012673806的博客
12-17 2152
syntax error, expect RPAREN, actual IDENTIFIER pos 189, line 2, column 116, token IDENTIFIER INTEGER
sql injection violation, syntax error: syntax error, expect RPAREN, actual IDENTIFIER
qq_16695629的博客
03-11 2786
MYBATISPLUS XML报错 记录一下 解决了半天还是没解决掉问题 最后改使用@SELECT 注解解决问题 离谱
Oracle Caused by: java.sql.SQLException: sql injection violation, syntax error: syntax error, expect
gb4215287的博客
02-17 1万+
参考:https://blog.youkuaiyun.com/qq_36326332/article/details/102938147 https://blog.youkuaiyun.com/fly_captain/article/details/82144789 一、mybatissql信息 select model.WIRE_MODEL from IDS_WIRE_MODEL model left join IDS_SIGNAL_TYPE type on model.SIGNA...
sql injection violation, syntax error: syntax error, error in :‘**‘expect IDENTIFIER, actual IDENTIF
No8g攻城狮的博客
02-24 9186
本文目录 一、背景描述 二、错误原因 三、解决方案 3.1 方案一 3.2 方案二 java.sql.SQLException: sql injection violation, syntax error: syntax error, error in :'soft YaHei UI'"><span style="color:', expect IDENTIFIER, actual IDENTIFIER pos 1935, line 5, column 1136, token IDE
mysql报错sql injection violation, syntax error: syntax error, expect RPAREN, actual IDENTIFIER
weixin_34408717的博客
09-19 8048
mysql报错sql injection violation, syntax error: syntax error, expect RPAREN, actual IDENTIFIER 处理,在控制台中打印sql,看哪里不对了,应该是文本中存在特殊或隐藏字符,出问题的地方手书一遍即可; 转载于:https://www.cnblogs.com/YuyuanNo1/p/9675378.h...
SQL运行报错:java.sql.SQLException: sql injection violation, syntax error: syntax error, expect ‘)‘, pos
醉逸鎏年的博客
02-24 4157
sql运行报错:java.sql.SQLException: sql injection violation, syntax error: syntax error, expect ')', pos
sql injection violation,syntax error,error in :‘x‘,expect IDENTIFIER,actual IDENTIFIER pos 2, line 1
ChuaWi98的博客
07-13 4216
Cause: java.sql.SQLException: sql injection violation, syntax error, error in :‘xxxxxx’, expect IDENTIFIER, actual IDENTIFIER pos 2, line 1, column 3, token IDENTIFIER xxx 仔细检查控制台或日志打印提示的地方,如上文报错’xxxxxx’的前后一个sql语句 出现类似的问题原因包含以下几种: 1、关键字冲突(在字段命名上与关键字一致) 2、多
Caused by: java.sql.SQLException: sql injection violation, dbType mysql, , druid-version 1.2.8, syntax error: syntax error, expect EQ, actual IDENTIFIER pos 127, line 6, column 22, token IDENTIFIER order_status : update invoice_order 这又是什么报错
最新发布
10-31
<think>我们再次遇到 Druid 报告的 SQL 注入违规和语法错误。本次错误信息如下: - **错误类型**:`sql injection violation`(SQL注入违规)和 `syntax error`(语法错误) - **数据库类型**:MySQL - **Druid版本**:1.2.8 - **具体语法错误**:`expect EQ, actual IDENTIFIER`(期待等号,实际得到标识符) - **位置**:第6行,第22列(位置127),令牌为`order_status` - **SQL语句开头**:`update invoice_order` ### 错误分析 1. **语法错误原因**: - 错误信息指出在`update`语句中,Druid解析器在位置127(第6行第22列)处遇到了一个标识符(`order_status`),但它期望的是一个等号(`=`)。 - 这通常意味着在设置更新字段时,字段名和值之间缺少等号。例如: ```sql -- 错误示例(缺少等号) UPDATE invoice_order order_status = 'completed' -- 这里应该是 set order_status = 'completed' WHERE ...; ``` 或者 ```sql -- 错误示例(set子句后直接跟字段名,缺少等号) UPDATE invoice_order SET order_status -- 这里缺少等号,应该是 SET order_status = ... ``` 正确的写法必须有`SET`关键字,且每个赋值语句为`字段名=值`。 2. **SQL注入违规**: - 虽然语法错误可能是根本原因,但Druid时报告了SQL注入违规。这可能是因为: - 语法错误导致Druid无法正确解析后续内容,将某些部分误认为注入。 - 使用了动态SQL(如MyBatis中`${}`拼接)且未过滤输入,触发了Druid的防护机制。 ### 解决方案 1. **检查UPDATE语句的语法**: - 确保语句中包含`SET`关键字,且每个更新项都是`字段名=值`的格式。 - 检查第6行第22列附近(即`order_status`周围)是否有遗漏的等号或逗号。 2. **检查动态SQL拼接**: - 如果使用了MyBatis,避免使用`${}`直接拼接变量(尤其是用户输入)。优先使用`#{}`进行参数化。 - 如果必须使用`${}`(如动态字段名),需在Java层进行严格的白名单校验。 3. **升级Druid版本**: - Druid 1.2.8版本较旧,可能存在误报。建议升级到最新稳定版(如1.2.16+): ```xml <dependency> <groupId>com.alibaba</groupId> <artifactId>druid</artifactId> <version>1.2.16</version> </dependency> ``` 4. **查看完整SQL日志**: - 通过MyBatis日志或Druid监控台输出实际执行的SQL,定位具体错误位置: ```properties # 开启MyBatis日志 logging.level.org.mybatis=DEBUG ``` ### 示例修正 假设原更新语句(MyBatis XML)如下: ```xml <update id="updateOrder" parameterType="..."> UPDATE invoice_order <set> order_status #{orderStatus}, <!-- 错误:缺少等号 --> update_time = #{updateTime} </set> WHERE ... </update> ``` 修正后: ```xml <update id="updateOrder" parameterType="..."> UPDATE invoice_order <set> order_status = #{orderStatus}, <!-- 添加等号 --> update_time = #{updateTime} </set> WHERE ... </update> ``` §§相关问题§§ 1. 在MySQL的UPDATE语句中,SET子句的正确语法结构是什么? 2. 如何避免在动态SQL拼接时触发DruidSQL注入告警? 3. MyBatis中`<set>`标签的作用是什么?使用时有哪些注意事项? 4. 除了升级Druid,还有哪些方法可以解决SQL注入误报问题? 5. 如何配置Druid以记录实际执行的SQL语句? </think>这个错误是 Druid (1.2.8 版本) 在 MySQL 环境下报告的 SQL 注入违规和语法错误组合。具体分析如下: ### 错误原因解析 1. **语法错误核心问题** - `expect EQ, actual IDENTIFIER`:表示 SQL 解析器期望看到等号(`=`),但实际遇到了标识符(这里是 `order_status`) - 位置:第6行第22列 (位置127),在 `update invoice_order` 语句中 - **典型场景**:在 UPDATE 语句中缺少必要的 `SET` 关键字或等号 ```sql -- 错误示例(缺少SET): UPDATE invoice_order order_status = 'paid' WHERE ... ❌ -- 正确写法: UPDATE invoice_order SET order_status = 'paid' WHERE ... ✅ ``` 2. **SQL 注入违规触发** - Druid 误将语法错误识别为注入尝试(常见于低版本) - 特别是当动态 SQL 中包含变量时(如 MyBatis 的 `${}` 或 `#{}`),旧版 Druid 可能错误触发防护 3. **位置分析** `pos 127, line 6, column 22` 暗示问题可能出现在: - UPDATE 后直接跟字段名(缺少 `SET`) - 字段赋值时缺少等号(如 `order_status 'paid'`) --- ### 解决方案 1. **修复 SQL 语法** ```sql -- 确保包含 SET 关键字和等号 UPDATE invoice_order SET order_status = #{value} -- MyBatis 参数写法 WHERE ... ``` 2. **检查 MyBatis 映射文件** ```xml <update id="updateOrder"> UPDATE invoice_order SET <!-- 检查每个字段赋值是否都有等号 --> order_status = #{status}, <!-- 正确 --> amount = #{amount} <!-- 正确 --> WHERE ... </update> ``` 3. **升级 Druid (关键修复)** ```xml <dependency> <groupId>com.alibaba</groupId> <artifactId>druid</artifactId> <version>1.2.16</version> <!-- 修复误报问题 --> </dependency> ``` 4. **添加 Druid 白名单规则** 在 `application.properties` 中: ```properties # 允许 UPDATE 语句格式 spring.datasource.druid.filter.wall.update-allow=true # 禁用部分严格检查 spring.datasource.druid.filter.wall.config.multi-statement-allow=true ``` --- ### 预防措施 - 使用 MyBatis 时避免混用 `${}` 和 `#{}` - 启用 SQL 日志验证实际执行语句: ```properties logging.level.org.mybatis=DEBUG ``` - 对动态字段名使用白名单校验(而非直接拼接)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值