2. 程式人生 > >MySql+Mybatis+Druid之SqlException:sql injection violation, multi-statement not allow

MySql+Mybatis+Druid之SqlException:sql injection violation, multi-statement not allow

阿新 發佈:2019-01-05

接上一篇部落格:資料庫優化之MyBatis批量刪除、更新

Druid是阿里巴巴,開發的一個數據庫連線池工具,經歷過多次雙十一的洗禮,它的效能已經能夠滿足國內大多數專案的需求。

異常一:

專案中啟用Druid的統計管理,在執行批量修改時:提示Error updating database.  Cause: java.sql.SQLException: sql injection violation, multi-statement not allow 。

提示:違反sql注入:多宣告不被允許

以下是棧異常輸出:

Caused by: java.sql.SQLException: sql injection violation, multi-statement not allow : UPDATE
            t_single_project_score
             SET update_time=now() ,
            is_delete = 1 ,
            operator =? 
            WHERE
             
                student_id IN (?)
             
             
                AND school_year IN(
                ?
                )
             
            AND is_delete = 0
         ; 
            UPDATE
            t_single_project_score
             SET update_time=now() ,
            is_delete = 1 ,
            operator =? 
            WHERE
             
                student_id IN (?)
             
             
                AND school_year IN(
                ?
                )
             
            AND is_delete = 0
        at com.alibaba.druid.wall.WallFilter.checkInternal(WallFilter.java:800)
	at com.alibaba.druid.wall.WallFilter.connection_prepareStatement(WallFilter.java:251)
	at com.alibaba.druid.filter.FilterChainImpl.connection_prepareStatement(FilterChainImpl.java:473)
	at com.alibaba.druid.filter.FilterAdapter.connection_prepareStatement(FilterAdapter.java:929)
	at com.alibaba.druid.filter.FilterChainImpl.connection_prepareStatement(FilterChainImpl.java:473)
	at com.alibaba.druid.filter.FilterAdapter.connection_prepareStatement(FilterAdapter.java:929)
	at com.alibaba.druid.filter.FilterEventAdapter.connection_prepareStatement(FilterEventAdapter.java:122)
	at com.alibaba.druid.filter.FilterChainImpl.connection_prepareStatement(FilterChainImpl.java:473)
	at com.alibaba.druid.proxy.jdbc.ConnectionProxyImpl.prepareStatement(ConnectionProxyImpl.java:342)
	at com.alibaba.druid.pool.DruidPooledConnection.prepareStatement(DruidPooledConnection.java:349)
	at com.p6spy.engine.wrapper.ConnectionWrapper.prepareStatement(ConnectionWrapper.java:119)
	at org.apache.ibatis.executor.statement.PreparedStatementHandler.instantiateStatement(PreparedStatementHandler.java:87)
	at org.apache.ibatis.executor.statement.BaseStatementHandler.prepare(BaseStatementHandler.java:88)
	at org.apache.ibatis.executor.statement.RoutingStatementHandler.prepare(RoutingStatementHandler.java:59)
	at org.apache.ibatis.executor.SimpleExecutor.prepareStatement(SimpleExecutor.java:85)
	at org.apache.ibatis.executor.SimpleExecutor.doUpdate(SimpleExecutor.java:49)
	at org.apache.ibatis.executor.BaseExecutor.update(BaseExecutor.java:117)
	at org.apache.ibatis.executor.CachingExecutor.update(CachingExecutor.java:76)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:483)
	at org.apache.ibatis.plugin.Plugin.invoke(Plugin.java:63)
	at com.sun.proxy.$Proxy44.update(Unknown Source)
	at org.apache.ibatis.session.defaults.DefaultSqlSession.update(DefaultSqlSession.java:198)
	at org.apache.ibatis.session.defaults.DefaultSqlSession.delete(DefaultSqlSession.java:213)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
	at java.lang.reflect.Method.invoke(Method.java:483)
	at org.mybatis.spring.SqlSessionTemplate$SqlSessionInterceptor.invoke(SqlSessionTemplate.java:433)
	... 52 more

通過異常棧輸出出現異常如何分析解決?


在輸出的日誌裡,找到關鍵資訊: 
at com.alibaba.druid.wall.WallFilter.checkInternal(WallFilter.java:800)

這是在spring-db.xml的wall-filter這個 bean中報出的異常:


在這個WallFilter找到checkInternal方法,就會看到提示的錯誤資訊前半部分:sql injection violation


檢視check()方法-->checkInternal()方法



找到異常後半段:multi-statement not allow。造成列印這個異常訊息的原因是config.ismultiStatementAllow()為false




解決方法:把multiStatementAllow修改成true即可

<!--在spring-db.xml的wall-filter中新增config,修改後如下-->

    <bean id="wall-filter" class="com.alibaba.druid.wall.WallFilter">
        <property name="dbType" value="mysql"/>
        <!--<property name="config" ref="wall-config"/>-->
    </bean>

    <!--解決mybatis與druid整合後,wallFilter sql注入異常-->
    <bean id="wall-config" class="com.alibaba.druid.wall.WallConfig">
        <property name="multiStatementAllow" value="true"/>
    </bean>

瞭解wall-filter: 通過官方文件配置

異常二:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near

com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 
		'UPDATE
		            t_single_project_score
		             SET update_time=now() , '

參考:

sql關鍵字衝突】https://www.cnblogs.com/zzxbest/archive/2011/09/22/2185029.html

sql關鍵字衝突】http://blog.csdn.net/qq_34698126/article/details/53128746

解決方法:這個問題一直報sql語法問題,刪除wall-filter的bean和wall-config的bean,同時在jdbc上加上allowMultiQueries=true&,問題得到了解決。

分析:wall-filter會攔截多次宣告請求的迴圈sql語句,即使設定為true,還會檢測到sql語句間的';'分號會視為sql已經結束,所以有sql迴圈,第二個sql語句就會報出異常。


以上不是最終的解決方案,希望遇到過這個問題的親們,可以多多留言與小編交流。

祝好運

相關推薦

MySql+Mybatis+DruidSqlExceptionsql injection violation, multi-statement not allow

接上一篇部落格:《資料庫優化之MyBatis批量刪除、更新》 Druid是阿里巴巴,開發的一個數據庫連線池工具,經歷過多次雙十一的洗禮,它的效能已經能夠滿足國內大多數專案的需求。 異常一: 專案中啟用Druid的統計管理,在執行批量修改時:提示Error updating datab

Druid java.sql.SQLException: sql injection violation

當我們在專案中使用了druid連線池進行資料來源的管理,並且配置瞭如下監控spring.datasource.filters: stat,wall,log4j在執行程式拼接的SQL時,xml中使用的是$

MySQL中間件ProxySQL(8):SQL語句的重寫規則極速賽車ProxySQL(8):

prot mvvm xxx 復制 初始化 -a data屬性 不能 所有 聯系方式:QQ:2747044651 網址http://zhengtuwl.com的根元素“#mvvm-app”內只有一個文本節點#text,#text的內容為{{name}}。我們就以下面這個模板詳

mysql系列詳解二sql語句操作-技術流ken

option art sql con student redundant cascade 枚舉 創建索引 1.簡介 本篇博客將詳細講解mysql的一些常用sql語句操作,例如創建數據庫,刪除數據庫,創建表,修改表,刪除表,以及簡單查詢案例。 2.關於mysql數據中的S

前端sql語句,表中隨機獲取一條記錄(資料)。(或者獲取隨機獲取多條(記錄)資料)

<!--表中獲取隨機一條title 耗時0.01s id==隨機欄位,最好為表id--> SELECT * FROM `tableName` AS t1 JOIN (SELECT ROUND(RAND() * ((SELECT MAX(id) FROM `ta

Error querying database. Cause: java.sql.SQLException: sql injection violation, syntax error: ERROR

異常:### Error querying database. Cause: java.sql.SQLException: sql injection violation, syntax error: ERROR. pos 85, line 2, column 48, token WHE

MySQL基礎語法join語法

join語法:表與表關聯 join 用於多表中欄位之間的聯絡 JOIN 按照功能大致分為如下三類: INNER JOIN(內連線,或等值連線):取得兩個表中存在連線匹配關係的記錄。 LEFT JOIN(左連線):取得左表(table1)完全記錄,即是右表(ta

mybatis學習路----動態sqlif條件判斷各種使用方式

點滴記載,點滴進步,願自己更上一層樓。 由於需要看到效果,所以這節最好可以將sql語句打印出來。參考 mybatis學習之路----列印sql語句 mybatis的if判斷語句其實跟el表示式的if條件判斷有些類似。 例如: <if test="id != nul

網路攻擊技術SQL Injectionsql注入) 網路攻擊技術開篇——SQL Injection

網路攻擊技術開篇——SQL Injection   1.1.1 摘要       日前,國內最大的程式設計師社群CSDN網站的使用者資料庫被黑客公開發布,600萬用戶的登入名及密碼被公開洩露,隨後又有多家網站的使用者密碼

mysql實戰優化MySQL查詢快取總結

mysql Query Cache 預設為開啟。從某種程度可以提高查詢的效果,但是未必是最優的解決方案,如果有的大量的修改和查詢時,由於修改造成的cache失效,會給伺服器造成很大的開銷。 mysql Query Cache 和 Oracle Query Cache 是不同的, oracle Query

MyBatis學習MyBatis配置檔案

在定義sqlSessionFactory時需要指定MyBatis主配置檔案: Xml程式碼   <bean id="sqlSessionFactory" class="org.mybatis.spring.SqlSessionFactoryBean"> 

《深入淺出MySQL》讀書筆記五SQL優化

一、SQL優化的一般步驟 show status like 'pattern%'; 檢視資料庫的執行時狀態 show variables like 'pattern%'; 檢視資料庫啟動時的配置資訊 1、首先需要定位執行效率有問題的SQL:     a、執行效率有

《深入淺出MySQL》 讀書筆記一SQL基礎

一、SQL分類 1、create、drop、alter等,屬於 資料定義語言 2、insert、delete、update、select 屬於 資料操縱語句 3、grant等 定義訪問許可權和安全級別 屬於 資料控制語句 二、資料定義語句 mysql -uroot -p 輸入密

Docker下MySQL主從三部曲binlog日誌引數實戰

本章是《Docker下MySQL主從三部曲》的終篇,前面的章節我們能夠製作映象來搭建主從同步環境,本章我們來觀察binlog引數MASTER_LOG_POS;關於從庫同步的設定在設定從庫同步的時候一般會使用以下SQL:CHANGE MASTER TO MASTER_HOST=

SPRINGBOOT配置MYSQL,MYBATIS,DRUID

1.3 添加 oot cto wait 框架 mysql- mybatis character 配置 DRUID連接池 MYSQL數據庫 MYBATIS持久層框架 添加依賴 <dependency> <groupId>mysql</gro

mybatis學習路----動態sqlchoose when otherwise

點滴記載,點滴進步,願自己更上一層樓。 choose節點,用法跟java中的switch 語法相似(官方文件這麼說,事實也是這樣)。 節點用法。 <choose>

mybatis學習路----動態sqlforeach set

點滴記載,點滴進步,願自己更上一層樓。 就像jsp前臺展示少不了集合遍歷一樣,這裡也支援集合遍歷,生成動態sql。 像sql的in函式,批量操作都少不了集合的遍歷。 foreach可以遍歷所有的可以

SonarQube安裝異常Cause: java.sql.BatchUpdateException: Cannot execute statement: impossible to write to

1.異常描述 2018.12.13 11:11:42 ERROR web[o.s.s.ui.JRubyFacade] Fail to upgrade database org.sonar.core.properties.PropertiesMapper.deleteGlobalProp

mybatis出現org.apache.ibatis.binding.BindingException: Invalid bound statement (not found)

mybatis常會出現下面異常,這一般是xml對映檔案有錯誤 org.apache.ibatis.binding.BindingException: Invalid bound statement (not found) 按以下步驟一一執行: 1.檢查Ma

Maven 遇到mybatis 發生org.apache.ibatis.binding.BindingException: Invalid bound statement (not found):

最近在做一個專案用到了spring+springMVC+mybatis+maven 的專案。第一次接觸到maven構建和使用idea。遇到了一個問題,說實話自己被這個問題困住了好久。網上查了好久,也沒有找到。好了,貼一下錯誤。 org.apache.ibati