Druid 1.2.14版本对Oracle UTL_RAW函数的拦截问题解析

在使用Druid 1.2.14版本连接Oracle数据库时，开发者可能会遇到一个常见问题：当SQL语句中包含Oracle特有的UTL_RAW包函数调用时，系统会抛出"Sql injection violation"异常。这个问题的根源在于Druid的WallFilter安全机制对特定数据库函数的默认拦截策略。

问题背景

Druid作为阿里巴巴开源的高性能数据库连接池，内置了强大的SQL防火墙功能（WallFilter）。这个安全机制会主动拦截可能存在的SQL注入风险，其中就包括对某些数据库特有函数的调用。在1.2.14版本中，UTL_RAW包下的函数被默认列入了拦截名单。

UTL_RAW是Oracle数据库提供的一个实用工具包，主要用于处理原始二进制数据。它包含多个有用的函数，如：

• CAST_TO_VARCHAR2：将RAW数据转换为VARCHAR2
• CAST_TO_RAW：将VARCHAR2转换为RAW
• BIT_AND：对两个RAW值进行按位AND操作
• BIT_OR：对两个RAW值进行按位OR操作

解决方案

要解决这个问题，开发者可以通过调整WallFilter的配置来允许UTL_RAW函数的调用。具体有以下几种方法：

1. 完全禁用WallFilter（不推荐）： 虽然这样可以快速解决问题，但会降低系统的安全性。

2. 修改WallFilter配置： 在Druid配置文件中，可以添加以下配置来允许特定函数的调用：

   <bean id="wallFilter" class="com.alibaba.druid.wall.WallFilter">
       <property name="config">
           <bean class="com.alibaba.druid.wall.WallConfig">
               <property name="functionCheck" value="false"/>
           </bean>
       </property>
   </bean>
   

3. 精确配置允许的函数： 更安全的方式是只允许特定的UTL_RAW函数：

   WallConfig config = new WallConfig();
   config.setFunctionCheck(true);
   config.addFunctionCheck("utl_raw.cast_to_varchar2");
   config.addFunctionCheck("utl_raw.cast_to_raw");
   // 添加其他需要的UTL_RAW函数
   

安全考量

在调整这些配置时，开发者需要权衡功能需求和安全风险：

1. 了解UTL_RAW的风险： UTL_RAW函数本身并不危险，但在某些情况下可能被用于SQL注入攻击，特别是在处理用户输入时。

2. 最小权限原则： 只开启业务真正需要的函数，而不是全部UTL_RAW函数。

3. 输入验证： 即使允许了这些函数调用，也应该对传入参数进行严格的验证和转义。

版本兼容性

这个问题主要出现在Druid 1.2.14版本。在后续版本中，Druid团队可能会调整默认的拦截策略，但基本原理和处理方法仍然适用。开发者应该根据实际使用的Druid版本查阅相应的文档。

最佳实践

1. 测试环境验证： 任何WallFilter配置的修改都应该先在测试环境验证，确保不会引入新的安全问题。

2. 日志监控： 开启Druid的SQL监控功能，定期检查被拦截的SQL语句，了解系统的安全状况。

3. 定期更新： 保持Druid版本的更新，以获取最新的安全补丁和功能改进。

通过合理配置WallFilter，开发者可以在保证系统安全的前提下，正常使用Oracle数据库的UTL_RAW函数功能。