update sqlkeyword

RuoYi

2024-08-30 4590faec68aeec90634e75fe7b689b2cedecd6b7

 src/main/java/com/ruoyi/common/utils/sql/SqlUtil.java

@@ -1,5 +1,6 @@
package com.ruoyi.common.utils.sql;



import com.ruoyi.common.exception.UtilException;

import com.ruoyi.common.utils.StringUtils;



/**

@@ -10,9 +11,19 @@
public class SqlUtil

{

    /**

     * 仅支持字母、数字、下划线、空格、逗号（支持多个字段排序）

     * 定义常用的 sql关键字

     */

    public static String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,]+";

    public static String SQL_REGEX = "and |extractvalue|updatexml|sleep|exec |insert |select |delete |update |drop |count |chr |mid |master |truncate |char |declare |or |union |like |+|/*|user()";



    /**

     * 仅支持字母、数字、下划线、空格、逗号、小数点（支持多个字段排序）

     */

    public static String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+";



    /**

     * 限制orderBy最大长度

     */

    private static final int ORDER_BY_MAX_LENGTH = 500;



    /**

     * 检查字符，防止注入绕过

@@ -21,7 +32,11 @@
    {

        if (StringUtils.isNotEmpty(value) && !isValidOrderBySql(value))

        {

            return StringUtils.EMPTY;

            throw new UtilException("参数不符合规范，不能进行查询");

        }

        if (StringUtils.length(value) > ORDER_BY_MAX_LENGTH)

        {

            throw new UtilException("参数已超过最大限制，不能进行查询");

        }

        return value;

    }

@@ -33,4 +48,23 @@
    {

        return value.matches(SQL_PATTERN);

    }



    /**

     * SQL关键字检查

     */

    public static void filterKeyword(String value)

    {

        if (StringUtils.isEmpty(value))

        {

            return;

        }

        String[] sqlKeywords = StringUtils.split(SQL_REGEX, "\\|");

        for (String sqlKeyword : sqlKeywords)

        {

            if (StringUtils.indexOfIgnoreCase(value, sqlKeyword) > -1)

            {

                throw new UtilException("参数存在SQL注入风险");

            }

        }

    }

}