update 同步ruoyi

疯狂的狮子li

2022-08-08 be7766b5f0dec84d537af9811e50f46ab3dfdb2a

 ruoyi-common/src/main/java/com/ruoyi/common/utils/sql/SqlUtil.java

@@ -1,37 +1,57 @@
package com.ruoyi.common.utils.sql;



import com.ruoyi.common.exception.BaseException;

import com.ruoyi.common.utils.StringUtils;



/**

 * sql操作工具类

 * 
 * @author ruoyi

 */

public class SqlUtil

{

    /**

     * 仅支持字母、数字、下划线、空格、逗号、小数点（支持多个字段排序）

     */

    public static String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+";



    /**

     * 检查字符，防止注入绕过

     */

    public static String escapeOrderBySql(String value)

    {

        if (StringUtils.isNotEmpty(value) && !isValidOrderBySql(value))

        {

            throw new BaseException("参数不符合规范，不能进行查询");

        }

        return value;

    }



    /**

     * 验证 order by 语法是否符合规范

     */

    public static boolean isValidOrderBySql(String value)

    {

        return value.matches(SQL_PATTERN);

    }

}

package com.ruoyi.common.utils.sql;

import com.ruoyi.common.exception.UtilException;
import com.ruoyi.common.utils.StringUtils;
import lombok.AccessLevel;
import lombok.NoArgsConstructor;

/**
 * sql操作工具类
 *
 * @author ruoyi
 */
@NoArgsConstructor(access = AccessLevel.PRIVATE)
public class SqlUtil {

    /**
     * 定义常用的 sql关键字
     */
    public static final String SQL_REGEX = "select |insert |delete |update |drop |count |exec |chr |mid |master |truncate |char |and |declare ";

    /**
     * 仅支持字母、数字、下划线、空格、逗号、小数点（支持多个字段排序）
     */
    public static final String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+";

    /**
     * 检查字符，防止注入绕过
     */
    public static String escapeOrderBySql(String value) {
        if (StringUtils.isNotEmpty(value) && !isValidOrderBySql(value)) {
            throw new UtilException("参数不符合规范，不能进行查询");
        }
        return value;
    }

    /**
     * 验证 order by 语法是否符合规范
     */
    public static boolean isValidOrderBySql(String value) {
        return value.matches(SQL_PATTERN);
    }

    /**
     * SQL关键字检查
     */
    public static void filterKeyword(String value) {
        if (StringUtils.isEmpty(value)) {
            return;
        }
        String[] sqlKeywords = StringUtils.split(SQL_REGEX, "\\|");
        for (String sqlKeyword : sqlKeywords) {
            if (StringUtils.indexOfIgnoreCase(value, sqlKeyword) > -1) {
                throw new UtilException("参数存在SQL注入风险");
            }
        }
    }
}