兰宝车间质量管理系统
上一版本: 4c99cea3 | 补丁 | 提交 | 显示空白
疯狂的狮子li
2021-12-22 b6442b4640fd94b812419263b03c9ce5e2371c9a 
Merge remote-tracking branch 'ruoyi-vue/master' into dev

# Conflicts:
#	pom.xml
#	ruoyi-common/src/main/java/com/ruoyi/common/utils/sql/SqlUtil.java
已修改1个文件
21 ■■■■■ 文件已修改
ruoyi-common/src/main/java/com/ruoyi/common/utils/sql/SqlUtil.java 21 ●●●●● 补丁 | 查看 | 原始文档 | blame | 历史 
 ruoyi-common/src/main/java/com/ruoyi/common/utils/sql/SqlUtil.java


@@ -12,6 +12,12 @@


 */


@NoArgsConstructor(access = AccessLevel.PRIVATE)


public class SqlUtil {




    /**


     * 定义常用的 sql关键字


     */


    public static String SQL_REGEX = "select |insert |delete |update |drop |count |exec |chr |mid |master |truncate |char |and |declare ";




    /**


     * 仅支持字母、数字、下划线、空格、逗号、小数点(支持多个字段排序)


     */


@@ -33,4 +39,19 @@


    public static boolean isValidOrderBySql(String value) {


        return value.matches(SQL_PATTERN);


    }




    /**


     * SQL关键字检查


     */


    public static void filterKeyword(String value) {


        if (StringUtils.isEmpty(value)) {


            return;


        }


        String[] sqlKeywords = StringUtils.split(SQL_REGEX, "\\|");


        for (String sqlKeyword : sqlKeywords) {


            if (StringUtils.indexOfIgnoreCase(value, sqlKeyword) > -1) {


                throw new UtilException("参数存在SQL注入风险");


            }


        }


    }


}