| | |
|---|
| | | package org.dromara.common.core.utils.sql; |
|---|
| | | |
|---|
| | | import org.dromara.common.core.exception.UtilException; |
|---|
| | | import org.dromara.common.core.utils.StringUtils; |
|---|
| | | import lombok.AccessLevel; |
|---|
| | | import lombok.NoArgsConstructor; |
|---|
| | | import org.dromara.common.core.utils.StringUtils; |
|---|
| | | |
|---|
| | | /** |
|---|
| | | * sql操作工具类 |
|---|
| | |
|---|
| | | */ |
|---|
| | | public static String escapeOrderBySql(String value) { |
|---|
| | | if (StringUtils.isNotEmpty(value) && !isValidOrderBySql(value)) { |
|---|
| | | throw new UtilException("参数不符合规范,不能进行查询"); |
|---|
| | | throw new IllegalArgumentException("参数不符合规范,不能进行查询"); |
|---|
| | | } |
|---|
| | | return value; |
|---|
| | | } |
|---|
| | |
|---|
| | | String[] sqlKeywords = StringUtils.split(SQL_REGEX, "\\|"); |
|---|
| | | for (String sqlKeyword : sqlKeywords) { |
|---|
| | | if (StringUtils.indexOfIgnoreCase(value, sqlKeyword) > -1) { |
|---|
| | | throw new UtilException("参数存在SQL注入风险"); |
|---|
| | | throw new IllegalArgumentException("参数存在SQL注入风险"); |
|---|
| | | } |
|---|
| | | } |
|---|
| | | } |
|---|
