[问题记录] sql注入:sql injection violation, token set

最新推荐文章于 2024-11-18 08:00:00 发布
最新推荐文章于 2024-11-18 08:00:00 发布
阅读量903 收藏
点赞数
分类专栏: Java开发日常问题 文章标签: 数据库 mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40306373/article/details/111561831
版权
在项目中遇到一个SQL更新数据的问题,由于使用了动态SQL,导致Druid的Wall Filter抛出'sql injection violation, token set'异常。分析原因是Druid认为在CASE语句中使用SET可能存在SQL注入风险。解决方法是根据需求选择使用CASE(字段维度)或CHOOSE(语句维度)来避免该异常。" 101717301,8754932,Python枚举与Class/Metaclass深度解析,"['Python开发', '后端', '编程语言', 'Python基础']

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

项目场景:

项目中有个sql的功能是更新数据库对应的数据,sql根据入参动态变化

问题描述:

我在mapper.xml文件中写下了这样一段代码,设param为mybatis传入的参数

   update payment_order
   case a when 1 then set 某字段
          when 2 then set 某字段 end
   where 具体条件

运行时报错,如标题所示,sql injection violation, token set

原因分析:

原因已经挺清楚的了,这是druid的wall filter对传入的sql进行检测后抛出的异常,由异常中的token set我们可以知道,druid不允许在case语句体中有set语句,这样有sql注入的危险,不允许执行。

解决方案:

1. 可以将set字段的语句放在case语句体外面,

   update payment_order set 某字段 =
   case a when 1 then x值
          when 2 then y值 end
   where 具体条件

2. 改用mybatis提供的<choose>标签,将语句改为

update payment_order 
<choose>
   <when test = "a == 1">
             set 某字段 = x
   <when/>
       <when test = "a == 2">
             set 某字段 = y
   <when/>
<choose/>
where 具体条件

总结:如果是字段维度,用case好,如果是语句维度,用choose比较方便。

sql injection violation, dbType mysql, druid-version 1.2.5, multi-statement not allow : UPDAT
好俗好麻烦的博客
03-25 1万+
报错信息 Caused by: java.sql.SQLException: sql injection violation, multi-statement not allow : UPDATE xxx表名 错误原因分析 违反sql注入:批量的操作不被允许 Druid的防火墙配置(Wall)中变量multiStatementAllow默认为false,导致被拦截 解决方式 方法一:修改连接字符串并且新增配置类 ① // 增加 allowMultiQueries=true // 例 spring:
java.sql.SQLException: sql injection violation
程序员大阳
12-10 2万+
坑的外观 提示如下: Caused by: java.sql.SQLException: sql injection violation, syntax error: error pos 18, line 1, column 12, token EXCEPT : insert into 问题分析 之前遇到过类似的错误,提示也是sql injection violation,字面理解就是sql注...
SQL报错:java.sql.SQLException: sql injection violation, dbType mysql
热门推荐
SSHLY3的博客
11-16 5万+
1. 报错信息 提示如下: Caused by: java.sql.SQLException: sql injection violation, syntax error: error pos 18, line 1, column 12, token EXCEPT : insert into 1 2. 问题分析 之前遇到过类似的错误,提示也是sql injection violation,字面理解就是sql注入错误,也就是说sql不对。 经常性是因为一些列名被怀疑是sql注入被拒绝,但是此次搞了...
【postgresqlsql injection violation, syntax error: syntax error, error in :‘imit 0, 10‘, expect CO
一个写了10年bug的程序员日常笔记。
09-26 1789
sql injection violation, syntax error: syntax error, error in :'imit 0, 10', expect COMMA, actual COMMA pos 242, line 5, column 40, token COMMA sql注入冲突,语法错误:语法错误,错误在:'mit 0,10',预期COMMA,实际COMMA位置242,第5行,第40列,标记COMMA
sql injection violation, syntax error: syntax error, error in :‘**‘expect IDENTIFIER, actual IDENTIF
No8g攻城狮的博客
02-24 8990
本文目录 一、背景描述 二、错误原因 三、解决方案 3.1 方案一 3.2 方案二 java.sql.SQLException: sql injection violation, syntax error: syntax error, error in :'soft YaHei UI'"><span style="color:', expect IDENTIFIER, actual IDENTIFIER pos 1935, line 5, column 1136, token IDE
Cause: java.sql.SQLException: sql injection violation, syntax error: syntax error, expect EQ, actual IDENTIFIER pos 102, line 5, column 15, token IDENTIFIER outId : update nj_exhibition_output set exhibitOutNum = ?, where
07-14
我理解您的问题是关于一个 Java SQL 异常的错误。根据错误消息,它似乎是由于 SQL 注入引起的,具体是语法错误。根据错误消息中的提示,错误出现在第 5 行第 15 列的位置,具体是标记为 IDENTIFIER 的位置。 根据您...
MyBatis使用Druid数据源批量更新失败
12-14
错误信息中指出"sql injection violation, syntax error",表明Druid的Wall过滤器检测到了可能的SQL注入尝试,并因为语法错误导致更新失败。 批量更新失败的另一个原因可能是SQL语句的构造问题。在提供的部分代码中...
Find-Sec-Bugs 漏洞范例
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
企业设备运行管理平台——项目实战
小高的博客
10-06 538
1.设备台账管理实现对车间设备的数字化台帐管理功能,包括车间名称、设备类型(生产设备/其他设备)、设备编号、设备名称、设备型号、制造厂、生产日期、使用开始日期、维保到期、备注、传感器ID。新增、修改、查询、删除、下载模板、上传数据、导出数据功能。2.设备保养管理2.1 保养计划管理实现对企业设备保养计划的管理。1)选择设备,选择按期保养方式,设置该设备的保养周期X天,在保养到期前Y天提醒用户。X要大于Y,保养到期后,维护保养记录后,重新按照保养周期执行,未维护保养记录,一直提醒保养。
Caused by: java.sql.SQLException: sql injection violation, multi-statement not allow
amass_的博客
12-02 2163
Caused by: java.sql.SQLException: sql injection violation, multi-statement not allow 多条sql提交报错
Oracle Caused by: java.sql.SQLException: sql injection violation, syntax error: syntax error, expect
gb4215287的博客
02-17 9745
参考:https://blog.youkuaiyun.com/qq_36326332/article/details/102938147 https://blog.youkuaiyun.com/fly_captain/article/details/82144789 一、mybatissql信息 select model.WIRE_MODEL from IDS_WIRE_MODEL model left join IDS_SIGNAL_TYPE type on model.SIGNA...
sql injection violation,syntax error,error in :‘x‘,expect IDENTIFIER,actual IDENTIFIER pos 2, line 1
ChuaWi98的博客
07-13 4094
Cause: java.sql.SQLException: sql injection violation, syntax error, error in :‘xxxxxx’, expect IDENTIFIER, actual IDENTIFIER pos 2, line 1, column 3, token IDENTIFIER xxx 仔细检查控制台或日志打印提示的地方,如上文报错’xxxxxx’的前后一个sql语句 出现类似的问题原因包含以下几种: 1、关键字冲突(在字段命名上与关键字一致) 2、多
Caused by: java.sql.SQLException: sql injection violation, comment not allow 问题处理
weixin_42422126的博客
07-12 1420
一个老项目,调用接口异常发现org.hibernate.exception.GenericJDBCException: could not prepare statement 错误,往下找到原因是sql有注释。把/*'*/注释去掉;注意去掉之后 @rownum :=@rownum 的 := 需要转义。
java.sql.SQLException: sql injection violation 错误记录
VidaCanawe的博客
12-05 1431
mybatis sql 错误记录 网上有很多这个错的解释但我这个就是有点离谱! 1.找问题sql语句本身在数据库试一遍,再在xml试一遍,检查sql有无写错,少没少连接符,多没多杀符号 ②简化sql ③查看时否配置不全 2.确定问题 我是sql除了问题,我们是mybatis+sprinboot+orcale,添加语句报错, 我写的sql用了insert 和with as 和 select连用,sql语句在数据库好使,但xml报错,问题所在是with as 是生成一个临时的视图,select 又查了一
SQL报错 -- sql injection violation, comment not allow
mocoll的博客
05-08 2257
大概意思就是检测到SQL注入了语句含有就会报这个错。
使用Mybatis时由于粗心遇到Cause: java.sql.SQLException: sql injection violation异常
奔跑的蜗牛
03-17 2万+
使用Mybatis插入数据时,由于粗心书写错误导致出现Cause: java.sql.SQLException: sql injection violation异常,SQL语句如下: <insert id="insertProduct" parameterType="com.isoftstone.product.entity.ProductBean"> ...
出现 sql injection violation, dbType mysql, druid-version 1.2.22, syntax error: not supported 解决方法
最新发布
码农研究僧的博客
11-18 1953
一开始Sql是可以执行的,后续集成某个报表的时候,引入Druid了,导致原先的Sql语句不能执行了 (先确保自身的Sql代码可以执行!)
四、MySql+Mybatis+Druid:报sql injection violation, multi-statement not allow异常
panchang199266的博客
06-11 2755
  做一个批量update的操作 ,sqlmap如下: &amp;lt;update id=&quot;synchronizedNumber&quot; parameterType=&quot;Date&quot;&amp;gt; &amp;lt;if test=&quot;lastUpdateTime == null&quot;&amp;gt; UPDATE business
mybatis批量导入 SQLException:sql injection violation, multi-statement not allow 笔记
weixin_47397751的博客
08-29 750
mybatis 批量导入解决—>java.sql.SQLException: sql injection violation, multi-statement not allow
Error updating database. Cause: java.sql.SQLException: sql injection violation, not terminal sql, token END
05-25
为了防止 SQL 注入攻击,我们需要使用参数化查询来代替字符串拼接。这样可以保证输入参数被正确地转义和编码,从而避免 SQL 注入攻击。另外,你也可以检查一下 SQL 查询中是否包含不必要的关键字或符号,并进行修改...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值