mybatis 一次执行多条SQL MySql+Mybatis+Druid之SqlException：sql injection violation, multi-statement not allow

如果用JDBC

jdbc.jdbcUrl=jdbc:mysql://127.0.0.1:3306/database?useUnicode=true&characterEncoding=utf8&allowMultiQueries=true

如果用阿里巴巴的数据源

Druid是阿里巴巴，开发的一个数据库连接池工具，经历过多次双十一的洗礼，它的性能已经能够满足国内大多数项目的需求。

异常一：

项目中启用Druid的统计管理，在执行批量修改时：提示Error updating database.  Cause: java.sql.SQLException: sql injection violation, multi-statement not allow 。

提示：违反sql注入：多声明不被允许

以下是栈异常输出：

1. Caused by: java.sql.SQLException: sql injection violation, multi-statement not allow : UPDATE
2. t_single_project_score
3. SET update_time=now() ,
4. is_delete = 1 ,
5. operator =?
6. WHERE
7. student_id IN (?)
8. AND school_year IN(
9. ?
10. )
11. AND is_delete = 0
12. ;
13. UPDATE
14. t_single_project_score
15. SET update_time=now() ,
16. is_delete = 1 ,
17. operator =?
18. WHERE
19. student_id IN (?)
20. AND school_year IN(
21. ?
22. )
23. AND is_delete = 0
24. at com.alibaba.druid.wall.WallFilter.checkInternal(WallFilter.java:800)
25. at com.alibaba.druid.wall.WallFilter.connection_prepareStatement(WallFilter.java:251)
26. at com.alibaba.druid.filter.FilterChainImpl.connection_prepareStatement(FilterChainImpl.java:473)
27. at com.alibaba.druid.filter.FilterAdapter.connection_prepareStatement(FilterAdapter.java:929)
28. at com.alibaba.druid.filter.FilterChainImpl.connection_prepareStatement(FilterChainImpl.java:473)
29. at com.alibaba.druid.filter.FilterAdapter.connection_prepareStatement(FilterAdapter.java:929)
30. at com.alibaba.druid.filter.FilterEventAdapter.connection_prepareStatement(FilterEventAdapter.java:122)
31. at com.alibaba.druid.filter.FilterChainImpl.connection_prepareStatement(FilterChainImpl.java:473)
32. at com.alibaba.druid.proxy.jdbc.ConnectionProxyImpl.prepareStatement(ConnectionProxyImpl.java:342)
33. at com.alibaba.druid.pool.DruidPooledConnection.prepareStatement(DruidPooledConnection.java:349)
34. at com.p6spy.engine.wrapper.ConnectionWrapper.prepareStatement(ConnectionWrapper.java:119)
35. at org.apache.ibatis.executor.statement.PreparedStatementHandler.instantiateStatement(PreparedStatementHandler.java:87)
36. at org.apache.ibatis.executor.statement.BaseStatementHandler.prepare(BaseStatementHandler.java:88)
37. at org.apache.ibatis.executor.statement.RoutingStatementHandler.prepare(RoutingStatementHandler.java:59)
38. at org.apache.ibatis.executor.SimpleExecutor.prepareStatement(SimpleExecutor.java:85)
39. at org.apache.ibatis.executor.SimpleExecutor.doUpdate(SimpleExecutor.java:49)
40. at org.apache.ibatis.executor.BaseExecutor.update(BaseExecutor.java:117)
41. at org.apache.ibatis.executor.CachingExecutor.update(CachingExecutor.java:76)
42. at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
43. at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
44. at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
45. at java.lang.reflect.Method.invoke(Method.java:483)
46. at org.apache.ibatis.plugin.Plugin.invoke(Plugin.java:63)
47. at com.sun.proxy.$Proxy44.update(Unknown Source)
48. at org.apache.ibatis.session.defaults.DefaultSqlSession.update(DefaultSqlSession.java:198)
49. at org.apache.ibatis.session.defaults.DefaultSqlSession.delete(DefaultSqlSession.java:213)
50. at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
51. at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
52. at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
53. at java.lang.reflect.Method.invoke(Method.java:483)
54. at org.mybatis.spring.SqlSessionTemplate$SqlSessionInterceptor.invoke(SqlSessionTemplate.java:433)
55. ... 52 more

通过异常栈输出出现异常如何分析解决？

在输出的日志里，找到关键信息：

1. at com.alibaba.druid.wall.WallFilter.checkInternal(WallFilter.java:800)

这是在spring-db.xml的wall-filter这个 bean中报出的异常：

在这个WallFilter找到checkInternal方法，就会看到提示的错误信息前半部分：sql injection violation

查看check()方法-->checkInternal()方法

找到异常后半段：multi-statement not allow。造成打印这个异常消息的原因是config.ismultiStatementAllow()为false

解决方法：把multiStatementAllow修改成true即可

1. <!--在spring-db.xml的wall-filter中添加config,修改后如下-->
2. <bean id="wall-filter" class="com.alibaba.druid.wall.WallFilter">
3. <property name="dbType" value="mysql"/>
4. <!--<property name="config" ref="wall-config"/>-->
5. </bean>
6. <!--解决mybatis与druid集成后，wallFilter sql注入异常-->
7. <bean id="wall-config" class="com.alibaba.druid.wall.WallConfig">
8. <property name="multiStatementAllow" value="true"/>
9. </bean>

了解wall-filter：通过官方文档配置

异常二：You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near

1. com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near
2. 'UPDATE
3. t_single_project_score
4. SET update_time=now() , '

参考：

【sql关键字冲突】https://www.cnblogs.com/zzxbest/archive/2011/09/22/2185029.html

【sql关键字冲突】http://blog.csdn.net/qq_34698126/article/details/53128746

解决方法：这个问题一直报sql语法问题，删除wall-filter的bean和wall-config的bean，同时在jdbc上加上allowMultiQueries=true&，问题得到了解决。

分析：wall-filter会拦截多次声明请求的循环sql语句，即使设置为true，还会检测到sql语句间的';'分号会视为sql已经结束，所以有sql循环，第二个sql语句就会报出异常。