兰宝车间质量管理系统
blame | 历史 | 补丁 | 提交 | 提交对比 | 忽略空白
疯狂的狮子li
2021-12-22 b6442b4640fd94b812419263b03c9ce5e2371c9a 
 ruoyi-common/src/main/java/com/ruoyi/common/utils/sql/SqlUtil.java


@@ -1,61 +1,57 @@


package com.ruoyi.common.utils.sql;







import com.ruoyi.common.exception.UtilException;



import com.ruoyi.common.utils.StringUtils;







/**



 * sql操作工具类



 * 


 * @author ruoyi



 */



public class SqlUtil



{



    /**



     * 定义常用的 sql关键字



     */



    public static String SQL_REGEX = "select |insert |delete |update |drop |count |exec |chr |mid |master |truncate |char |and |declare ";







    /**



     * 仅支持字母、数字、下划线、空格、逗号、小数点(支持多个字段排序)



     */



    public static String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+";







    /**



     * 检查字符,防止注入绕过



     */



    public static String escapeOrderBySql(String value)



    {



        if (StringUtils.isNotEmpty(value) && !isValidOrderBySql(value))



        {



            throw new UtilException("参数不符合规范,不能进行查询");



        }



        return value;



    }







    /**



     * 验证 order by 语法是否符合规范



     */



    public static boolean isValidOrderBySql(String value)



    {



        return value.matches(SQL_PATTERN);



    }







    /**



     * SQL关键字检查



     */



    public static void filterKeyword(String value)



    {



        if (StringUtils.isEmpty(value))



        {



            return;



        }



        String[] sqlKeywords = StringUtils.split(SQL_REGEX, "\\|");



        for (int i = 0; i < sqlKeywords.length; i++)



        {



            if (StringUtils.indexOfIgnoreCase(value, sqlKeywords[i]) > -1)



            {



                throw new UtilException("参数存在SQL注入风险");



            }



        }



    }



}



package com.ruoyi.common.utils.sql;




import com.ruoyi.common.exception.UtilException;


import com.ruoyi.common.utils.StringUtils;


import lombok.AccessLevel;


import lombok.NoArgsConstructor;




/**


 * sql操作工具类


 *


 * @author ruoyi


 */


@NoArgsConstructor(access = AccessLevel.PRIVATE)


public class SqlUtil {




    /**


     * 定义常用的 sql关键字


     */


    public static String SQL_REGEX = "select |insert |delete |update |drop |count |exec |chr |mid |master |truncate |char |and |declare ";




    /**


     * 仅支持字母、数字、下划线、空格、逗号、小数点(支持多个字段排序)


     */


    public static final String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+";




    /**


     * 检查字符,防止注入绕过


     */


    public static String escapeOrderBySql(String value) {


        if (StringUtils.isNotEmpty(value) && !isValidOrderBySql(value)) {


            throw new UtilException("参数不符合规范,不能进行查询");


        }


        return value;


    }




    /**


     * 验证 order by 语法是否符合规范


     */


    public static boolean isValidOrderBySql(String value) {


        return value.matches(SQL_PATTERN);


    }




    /**


     * SQL关键字检查


     */


    public static void filterKeyword(String value) {


        if (StringUtils.isEmpty(value)) {


            return;


        }


        String[] sqlKeywords = StringUtils.split(SQL_REGEX, "\\|");


        for (String sqlKeyword : sqlKeywords) {


            if (StringUtils.indexOfIgnoreCase(value, sqlKeyword) > -1) {


                throw new UtilException("参数存在SQL注入风险");


            }


        }


    }


}