| | |
|---|
| | | package org.dromara.common.core.utils.sql; |
|---|
| | | |
|---|
| | | import org.dromara.common.core.exception.UtilException; |
|---|
| | | import org.dromara.common.core.utils.StringUtils; |
|---|
| | | import lombok.AccessLevel; |
|---|
| | | import lombok.NoArgsConstructor; |
|---|
| | | import org.dromara.common.core.utils.StringUtils; |
|---|
| | | |
|---|
| | | /** |
|---|
| | | * sql操作工具类 |
|---|
| | |
|---|
| | | /** |
|---|
| | | * 定义常用的 sql关键字 |
|---|
| | | */ |
|---|
| | | public static final String SQL_REGEX = "select |insert |delete |update |drop |count |exec |chr |mid |master |truncate |char |and |declare "; |
|---|
| | | public static String SQL_REGEX = "\u000B|and |extractvalue|updatexml|sleep|exec |insert |select |delete |update |drop |count |chr |mid |master |truncate |char |declare |or |union |like |+|/*|user()"; |
|---|
| | | |
|---|
| | | /** |
|---|
| | | * 仅支持字母、数字、下划线、空格、逗号、小数点(支持多个字段排序) |
|---|
| | |
|---|
| | | */ |
|---|
| | | public static String escapeOrderBySql(String value) { |
|---|
| | | if (StringUtils.isNotEmpty(value) && !isValidOrderBySql(value)) { |
|---|
| | | throw new UtilException("参数不符合规范,不能进行查询"); |
|---|
| | | throw new IllegalArgumentException("参数不符合规范,不能进行查询"); |
|---|
| | | } |
|---|
| | | return value; |
|---|
| | | } |
|---|
| | |
|---|
| | | String[] sqlKeywords = StringUtils.split(SQL_REGEX, "\\|"); |
|---|
| | | for (String sqlKeyword : sqlKeywords) { |
|---|
| | | if (StringUtils.indexOfIgnoreCase(value, sqlKeyword) > -1) { |
|---|
| | | throw new UtilException("参数存在SQL注入风险"); |
|---|
| | | throw new IllegalArgumentException("参数存在SQL注入风险"); |
|---|
| | | } |
|---|
| | | } |
|---|
| | | } |
|---|
