兰宝车间质量管理系统
blame | 历史 | 补丁 | 提交 | 提交对比 | 忽略空白
疯狂的狮子Li
2024-12-25 5480e419b6fb47e239ab28240252bb7f4a101e2a 
 ruoyi-common/ruoyi-common-core/src/main/java/org/dromara/common/core/utils/sql/SqlUtil.java


@@ -1,9 +1,8 @@


package org.dromara.common.core.utils.sql;




import org.dromara.common.core.exception.UtilException;


import org.dromara.common.core.utils.StringUtils;


import lombok.AccessLevel;


import lombok.NoArgsConstructor;


import org.dromara.common.core.utils.StringUtils;




/**


 * sql操作工具类


@@ -16,7 +15,7 @@


    /**


     * 定义常用的 sql关键字


     */


    public static final String SQL_REGEX = "select |insert |delete |update |drop |count |exec |chr |mid |master |truncate |char |and |declare ";


    public static String SQL_REGEX = "\u000B|and |extractvalue|updatexml|sleep|exec |insert |select |delete |update |drop |count |chr |mid |master |truncate |char |declare |or |union |like |+|/*|user()";




    /**


     * 仅支持字母、数字、下划线、空格、逗号、小数点(支持多个字段排序)


@@ -28,7 +27,7 @@


     */


    public static String escapeOrderBySql(String value) {


        if (StringUtils.isNotEmpty(value) && !isValidOrderBySql(value)) {


            throw new UtilException("参数不符合规范,不能进行查询");


            throw new IllegalArgumentException("参数不符合规范,不能进行查询");


        }


        return value;


    }


@@ -50,7 +49,7 @@


        String[] sqlKeywords = StringUtils.split(SQL_REGEX, "\\|");


        for (String sqlKeyword : sqlKeywords) {


            if (StringUtils.indexOfIgnoreCase(value, sqlKeyword) > -1) {


                throw new UtilException("参数存在SQL注入风险");


                throw new IllegalArgumentException("参数存在SQL注入风险");


            }


        }


    }