Druid SQL防火墙中关于恒真条件检测的配置解析

背景介绍

在使用阿里巴巴开源的数据库连接池Druid时，开发者可能会遇到SQL防火墙(WallFilter)拦截带有1=1这类恒真条件的SQL语句的情况。这是Druid提供的一项安全特性，旨在防止潜在的SQL注入攻击。

问题现象

当开发者执行类似SELECT COUNT(*) AS total FROM sys_role WHERE 1 = 1的SQL语句时，Druid的SQL防火墙会抛出异常："sql injection violation, dbType mysql, druid-version 1.2.22, select alway true condition not allow"。

技术原理

Druid的SQL防火墙通过WallFilter实现，它包含多种安全检测机制，其中一项就是检测SQL语句中的恒真条件。这类条件常被用于SQL注入攻击中，攻击者可能通过添加OR 1=1等条件绕过权限验证。

解决方案

针对这类情况，Druid提供了两个相关配置参数：

1. selectWhereAlwayTrueCheck：控制是否检测SELECT语句中的恒真条件

   • 默认值为true(开启检测)
   • 设置为false可禁用此检测

2. conditionAndAlwayTrueAllow：控制是否允许AND连接的恒真条件

   • 这个参数的历史版本中存在逻辑反转问题，需要注意版本兼容性

配置示例

开发者可以通过以下方式配置WallFilter：

WallConfig wallConfig = new WallConfig();
// 禁用SELECT语句中的恒真条件检测
wallConfig.setSelectWhereAlwayTrueCheck(false);
// 允许AND连接的恒真条件
wallConfig.setConditionAndAlwayTrueAllow(true);

WallFilter wallFilter = new WallFilter();
wallFilter.setConfig(wallConfig);

安全建议

虽然禁用这些检测可以解决兼容性问题，但从安全角度考虑：

1. 应尽量避免在应用代码中直接使用1=1这类恒真条件
2. 如果必须使用，建议仅在开发环境禁用检测，生产环境保持开启
3. 考虑使用Druid的其他防护机制，如黑白名单、语法检查等

总结

Druid的SQL防火墙提供了多层次的安全防护，恒真条件检测是其中重要的一环。开发者应根据实际业务需求和安全要求，合理配置相关参数，在安全性和便利性之间取得平衡。对于必须使用恒真条件的场景，可以通过上述配置方法解决问题，但同时也要注意潜在的安全风险。