6.Druid关联

6.1.Web关联监控配置

WebStatFilter用于采集web-jdbc关联监控的数据。

web.xml配置：

DruidWebStatFiltercom.alibaba.druid.support.http.WebStatFilterexclusions*.js,*.gif,*.jpg,*.png,*.css,*.ico,/druid/*DruidWebStatFilter/*

exlusions配置

经常需要排除一些不必要的url，比如.js,/jslib/等等。配置在init-param中。比如：

exclusions*.js,*.gif,*.jpg,*.png,*.css,*.ico,/druid/*

sessionStatMaxCount配置

缺省sessionStatMaxCount是1000个。你可以按需要进行配置，比如：

sessionStatMaxCount1000

sessionStatEnable配置

你可以关闭session统计功能，比如：

sessionStatEnablefalse

principalSessionName配置

你可以配置principalSessionName，使得druid能够知道当前的session的用户是谁。比如：

principalSessionNamexxx.user

根据需要，把其中的xxx.user修改为你user信息保存在session中的sessionName。

注意：如果你session中保存的是非string类型的对象，需要重载toString方法。

principalCookieName

如果你的user信息保存在cookie中，你可以配置principalCookieName，使得druid知道当前的user是谁

principalCookieNamexxx.user

根据需要，把其中的xxx.user修改为你user信息保存在cookie中的cookieName

profileEnable

druid 0.2.7版本开始支持profile，配置profileEnable能够监控单个url调用的sql列表。

profileEnabletrue

结果展示

6.2.Spring关联监控配置

Druid提供了Spring和Jdbc的关联监控。

配置spring

com.alibaba.druid.support.spring.stat.DruidStatInterceptor是一个标准的Spring MethodInterceptor。可以灵活进行AOP配置。

Spring AOP的配置文档：

按类型拦截配置

druid-stat-interceptor

方法名正则匹配拦截配置

com.mycompany.service.*com.mycompany.dao.*

有些情况下，可能你需要配置proxy-target-class，例如

按照BeanId来拦截配置

xxx-daoxxx-servicedruid-stat-interceptor

6.Druid防御

Druid提供了WallFilter，它是基于SQL语义分析来实现防御SQL注入攻击的。

这个文档提供基于Spring的各种配置方式。

使用缺省配置的WallFilter

...

结合其他Filter一起使用

WallFilter可以结合其他Filter一起使用，例如：

...

这样，拦截检测的时间不在StatFilter统计的SQL执行时间内。

如果希望StatFilter统计的SQL执行时间内，则使用如下配置：

...

指定dbType

有时候，一些应用框架做了自己的JDBC Proxy Driver，是的DruidDataSource无法正确识别数据库的类型，则需要特别指定，如下：

...

指定配置装载的目录

缺省情况下，配置装载的目录如下：

数据库类型

目录

mysql

META-INF/druid/wall/mysql

oracle

META-INF/druid/wall/oracle

sqlserver

META-INF/druid/wall/sqlserver

postgres

META-INF/druid/wall/postgres

从配置目录中以下文件中读取配置：

deny-variant.txtdeny-schema.txtdeny-function.txtdeny-table.txtdeny-object.txt

指定配置装载的目录是可以指定，例如：

...

WallConfig详细说明

本身的配置

配置项

缺省值

dir

按照dbType分别配置:

mysql : META-INF/druid/wall/mysql

oracle : META-INF/druid/wall/oracle

sqlserver : META-INF/druid/wall/sqlserver

拦截配置－语句

配置项

缺省值

描述

selelctAllow

true

是否允许执行SELECT语句

selectAllColumnAllow

true

是否允许执行SELECT * FROM T这样的语句。如果设置为false，不允许执行select * from t，但select * from (select id, name from t) a。这个选项是防御程序通过调用select *获得数据表的结构信息。

selectIntoAllow

true

SELECT查询中是否允许INTO字句

deleteAllow

true

是否允许执行DELETE语句

updateAllow

true

是否允许执行UPDATE语句

insertAllow

true

是否允许执行INSERT语句

replaceAllow

true

是否允许执行REPLACE语句

mergeAllow

true

是否允许执行MERGE语句，这个只在Oracle中有用

callAllow

true

是否允许通过jdbc的call语法调用存储过程

setAllow

true

是否允许使用SET语法

truncateAllow

true

truncate语句是危险，缺省打开，若需要自行关闭

createTableAllow

true

是否允许创建表

alterTableAllow

true

是否允许执行Alter Table语句

dropTableAllow

true

是否允许修改表

commentAllow

false

是否允许语句中存在注释，Oracle的用户不用担心，Wall能够识别hints和注释的区别

noneBaseStatementAllow

false

是否允许非以上基本语句的其他语句，缺省关闭，通过这个选项就能够屏蔽DDL。

multiStatementAllow

false

是否允许一次执行多条语句，缺省关闭

useAllow

true

是否允许执行mysql的use语句，缺省打开

describeAllow

true

是否允许执行mysql的describe语句，缺省打开

showAllow

true

是否允许执行mysql的show语句，缺省打开

commitAllow

true

是否允许执行commit操作

rollbackAllow

true

是否允许执行roll back操作

如果把selectIntoAllow、deleteAllow、updateAllow、insertAllow、mergeAllow都设置为false，这就是一个只读数据源了。

拦截配置－永真条件

配置项

缺省值

描述

selectWhereAlwayTrueCheck

true

检查SELECT语句的WHERE子句是否是一个永真条件

selectHavingAlwayTrueCheck

true

检查SELECT语句的HAVING子句是否是一个永真条件

deleteWhereAlwayTrueCheck

true

检查DELETE语句的WHERE子句是否是一个永真条件

deleteWhereNoneCheck

false

检查DELETE语句是否无where条件，这是有风险的，但不是SQL注入类型的风险

updateWhereAlayTrueCheck

true

检查UPDATE语句的WHERE子句是否是一个永真条件

updateWhereNoneCheck

false

检查UPDATE语句是否无where条件，这是有风险的，但不是SQL注入类型的风险

conditionAndAlwayTrueAllow

false

检查查询条件(WHERE/HAVING子句)中是否包含AND永真条件

conditionAndAlwayFalseAllow

false

检查查询条件(WHERE/HAVING子句)中是否包含AND永假条件

conditionLikeTrueAllow

true

检查查询条件(WHERE/HAVING子句)中是否包含LIKE永真条件

其他拦截配置

配置项

缺省值

描述

selectIntoOutfileAllow

false

SELECT ... INTO OUTFILE 是否允许，这个是mysql注入攻击的常见手段，缺省是禁止的

selectUnionCheck

true

检测SELECT UNION

selectMinusCheck

true

检测SELECT MINUS

selectExceptCheck

true

检测SELECT EXCEPT

selectIntersectCheck

true

检测SELECT INTERSECT

mustParameterized

false

是否必须参数化，如果为True，则不允许类似WHERE ID = 1这种不参数化的SQL

strictSyntaxCheck

true

是否进行严格的语法检测，Druid SQL Parser在某些场景不能覆盖所有的SQL语法，出现解析SQL出错，可以临时把这个选项设置为false，同时把SQL反馈给Druid的开发者。

conditionOpXorAllow

false

查询条件中是否允许有XOR条件。XOR不常用，很难判断永真或者永假，缺省不允许。

conditionOpBitwseAllow

true

查询条件中是否允许有"&"、"~"、"|"、"^"运算符。

conditionDoubleConstAllow

false

查询条件中是否允许连续两个常量运算表达式

minusAllow

true

是否允许SELECT * FROM A MINUS SELECT * FROM B这样的语句

intersectAllow

true

是否允许SELECT * FROM A INTERSECT SELECT * FROM B这样的语句

constArithmeticAllow

true

拦截常量运算的条件，比如说WHERE FID = 3 - 1，其中"3 - 1"是常量运算表达式。

limitZeroAllow

false

是否允许limit 0这样的语句

禁用对象检测配置

配置项

缺省值

描述

tableCheck

true

检测是否使用了禁用的表

schemaCheck

true

检测是否使用了禁用的Schema

functionCheck

true

检测是否使用了禁用的函数

objectCheck

true

检测是否使用了“禁用对对象”

variantCheck

true

检测是否使用了“禁用的变量”

readOnlyTables

空

指定的表只读，不能够在SELECT INTO、DELETE、UPDATE、INSERT、MERGE中作为"被修改表"出现

Jdbc相关配置

配置项

缺省值

描述

metadataAllow

true

是否允许调用Connection.getMetadata方法，这个方法调用会暴露数据库的表信息

wrapAllow

true

是否允许调用Connection/Statement/ResultSet的isWrapFor和unwrap方法，这两个方法调用，使得有办法拿到原生驱动的对象，绕过WallFilter的检测直接执行SQL。

WallFiler配置说明

配置项

缺省值

描述

logViolation

false

对被认为是攻击的SQL进行LOG.error输出

throwException

true

对被认为是攻击的SQL抛出SQLExcepton

config

provider

刚开始引入WallFilter的时候，把logViolation设置为true，而throwException设置为false。就可以观察是否存在违规的情况，同时不影响业务运行。

7.Druid参考

不同的业务场景需求不同，你可以使用我们的参考配置，但建议你仔细阅读相关文档，了解清楚之后做定制配置。

以下是一个参考的连接池配置：

通常来说，只需要修改initialSize、minIdle、maxActive。

如果用Oracle，则把poolPreparedStatements配置为true，mysql可以配置为false。分库分表较多的数据库，建议配置为false。

9. Druid日志

Druid提供了Log4jFilter、CommonsLogFilter和Slf4jFilter，具体配置看这里:

Druid内置提供了三种LogFilter(Log4jFilter、CommonsLogFilter、Slf4jLogFilter)，用于输出JDBC执行的日志。这些Filter都是Filter-Chain扩展机制中的Filter，所以配置方式可以参考这里：Filter配置

1. 别名映射

在druid-xxx.jar!/META-INF/druid-filter.properties文件中描述了这三种Filter的别名

druid.filters.log4j=com.alibaba.druid.filter.logging.Log4jFilterdruid.filters.slf4j=com.alibaba.druid.filter.logging.Slf4jLogFilterdruid.filters.commonlogging=com.alibaba.druid.filter.logging.CommonsLogFilterdruid.filters.commonLogging=com.alibaba.druid.filter.logging.CommonsLogFilter

他们的别名分别是log4j、slf4j、commonlogging和commonLogging。其中commonlogging和commonLogging只是大小写不同。

... ...

2. loggerName配置

LogFilter都是缺省使用四种不同的Logger执行输出，看实现代码：

public abstract class LogFilter {protected String          dataSourceLoggerName                 = "druid.sql.DataSource";protected String          connectionLoggerName                 = "druid.sql.Connection";protected String          statementLoggerName                  = "druid.sql.Statement";protected String          resultSetLoggerName                  = "druid.sql.ResultSet";}

你可以根据你的需要修改，在log4j.properties文件上做配置时，注意配置使用相关的logger。

3. 配置输出日志

缺省输入的日志信息全面，但是内容比较多，有时候我们需要定制化配置日志输出。

...

参数

说明

dataSourceLogEnabled

所有DataSource相关的日志

connectionLogEnabled

所有连接相关的日志

connectionLogErrorEnabled

所有连接上发生异常的日志

statementLogEnabled

所有Statement相关的日志

statementLogErrorEnabled

所有Statement发生异常的日志

resultSetLogEnabled

resultSetLogErrorEnabled

connectionConnectBeforeLogEnabled

connectionConnectAfterLogEnabled

connectionCommitAfterLogEnabled

connectionRollbackAfterLogEnabled

connectionCloseAfterLogEnabled

statementCreateAfterLogEnabled

statementPrepareAfterLogEnabled

statementPrepareCallAfterLogEnabled

statementExecuteAfterLogEnabled

statementExecuteQueryAfterLogEnabled

statementExecuteUpdateAfterLogEnabled

statementExecuteBatchAfterLogEnabled

statementCloseAfterLogEnabled

statementParameterSetLogEnabled

resultSetNextAfterLogEnabled

resultSetOpenAfterLogEnabled

resultSetCloseAfterLogEnabled

4. log4j.properties配置

如果你使用log4j，可以通过log4j.properties文件配置日志输出选项，例如：

log4j.logger.druid.sql=warn,stdoutlog4j.logger.druid.sql.DataSource=warn,stdoutlog4j.logger.druid.sql.Connection=warn,stdoutlog4j.logger.druid.sql.Statement=warn,stdoutlog4j.logger.druid.sql.ResultSet=warn,stdout

5. 输出可执行的SQL

Java启动参数配置方式

-Ddruid.log.stmt.executableSql=true

logFilter参数直接配置

10.Druid泄露

Druid提供了多种监测连接泄漏的手段

连接泄漏监测

当程序存在缺陷时，申请的连接忘记关闭，这时候，就存在连接泄漏了。Druid提供了RemoveAbandanded相关配置，用来关闭长时间不使用的连接。例如：

配置

... ...   ... ...

配置removeAbandoned对性能会有一些影响，建议怀疑存在泄漏之后再打开。在上面的配置中，如果连接超过30分钟未关闭，就会被强行回收，并且日志记录连接申请时的调用堆栈。

内置监控页面查看未关闭连接堆栈信息

当removeAbandoned=true之后，可以在内置监控界面datasource.html中的查看ActiveConnection StackTrace属性的，可以看到未关闭连接的具体堆栈信息，从而方便查出哪些连接泄漏了。

web应用

如果你的应用配置了WebStatFilter

在内置监控页面weburi-detail.html中，查看JdbcPoolConnectionOpenCount和JdbcPoolConnectionCloseCount属性，如果不相等，就是泄漏了。