溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
眾所周知,大拿們在設計報表的時候,需要展現的數據很少是固定不變地,經常需要使用查詢條件過濾出我們想要的數據。簡而言之就是,同一張報表可以在不同的參數控制下呈現出不同的數據。
那么問題來了,報表工具一般都用哪些方法來實現這一需求呢?
首先當然必須是說 SQL, 正常情況下不同的過濾條件會對應著取數 SQL 中不同的 WHERE 條件,而報表工具能將報表參數對應成 SQL 的參數,這樣一來,輸入不同報表參數時就會產生不同的 SQL。
假如我們要做一個有查詢條件的報表,拿訂購日期作為檢索條件,查詢不同日期區間下訂單信息表中的數據。其中的數據列包括:訂單 ID, 客戶 ID, 訂購日期, 發貨日期, 運貨商, 貨主名稱, 貨主地區, 訂單金額。
Follow me,我們拿潤乾報表來做個例子,首先設置兩個參數,取名為 startdate 與 enddate:
然后這個報表的取數 SQL 要寫成含有參數的形式,SQL 語句中使用“?”(英文問號)表示參數:
select 訂單 ID, 客戶 ID, 訂購日期, 發貨日期, 運貨商, 貨主名稱, 貨主地區, 訂單金額 from 訂單信息表 where 訂購日期 >? and 訂購日期 <?
然后要配置 SQL 參數與報表參數的對應,即將 SQL 語句中每個“?”翻譯成對應的報表參數。
配置完成后用戶只需要通過設置不同的報表參數,就可以獲取不同的數據了。例如查詢 2014 年 1 月 1 號到 2014 年 1 月 8 號之間的訂單信息,那么設置參數 startdate 值為 2014-01-01,參數 enddate 值為 2014-01-08,查詢結果如下:
有時候我們希望某個參數不輸入時報表可以聰明地理解為忽略該參數,比如上例中沒有輸入 enddate 時報表可以默默地查出從某個起始日期之后的所有訂單。那需要怎么做呢?
這種情況下可以把沒有輸入的參數認為是取值為空的參數,我們只需要修改一下上面的 SQL 語句,增加對空值的判斷即可:
select 訂單 ID, 客戶 ID, 訂購日期, 發貨日期, 運貨商, 貨主名稱, 貨主地區, 訂單金額 from 訂單信息表 where (? is null or 訂購日期 >?) and (? is null or 訂購日期 <?)
這樣,當參數值為空時就相當于被忽略了。
相應地,SQL 參數與報表參數的對應也要修改,這兩個參數在 SQL 中分別使用了兩次,各自對應了兩個問號:
這時候要查詢 2015 年 1 月 1 號之后、結束日期不限制的數據,將參數 startdate 設置為 2015-01-01,參數 enddate 為 null 就可以了,
查詢結果如下:
從上例可以看到,使用參數時要事先知道取數 SQL 中哪些字段可作為查詢條件。但有時候可用于做查詢條件的字段非常多,比如針對一個訂貨信息表來說,還可能按客戶 ID、按地區、按運貨商等各種條件查詢。如果使用上述參數的方式,就需要設置很多的參數,取數 SQL 語句也很長,使用和維護都比較麻煩。如果實現按任意字段查詢的話,無疑會方便許多。
有些報表工具提供了宏表達式,可以更靈活地解決這個問題。仍然以潤乾報表為例說明:
首先在報表中定義一個字符串參數,比如名稱為 search。然后在取數 SQL 中使用宏表達式引用這個參數:
select 訂單 ID, 客戶 ID, 訂購日期, 發貨日期, 運貨商, 貨主名稱, 貨主地區, 訂單金額 from 訂單信息表 where ${search}
其中 ${search} 的意思就是會將 search 的內容拼接到 SQL 的相應位置得到一句可執行的 SQL 語句。這種寫法即稱為宏表達式(下面討論時就簡稱宏)。
現在給報表傳遞不同的參數值就可以得到不同的數據了。例如要查詢訂單日期為 2014 年 1 月 1 號到 2014 年 1 月 8 號且貨主地區為華北的訂單信息,那么設置 search 的值為:
訂購日期 >’2014-01-01′ and 訂購日期 <‘2014-01-08′ and 貨主地區 =’華北’
查詢結果如下:
從上可以看出利用宏可以在報表中輕易替換 SQL 語句的部分甚至全部,不同參數值,在報表中可以計算出不同的表達式結果,從而得到不同的報表信息,這樣面對大量不同類型的報表,用戶再也不用每次都做單獨的設計和維護了,大大減輕了工作量,釋放了勞動力。
既然利用宏可以在報表中動態替換 SQL 語句的部分甚至全部,而且顯然使用宏比 SQL 參數更靈活,另外參數能做到的事情用宏都能做到,那么報表工具還有必要提供 SQL 參數機制嗎?是不是只要有宏就夠了?
事實上并沒有這么簡單。宏只是簡單地替換 SQL 語句的部分,要保證最后的語句合法,有時在生成參數字符串會有麻煩。數值等簡單數據類型可以直接拼進 SQL,而字符串常數就需要加上引號才可以,萬一這個常數中本身已經有引號,則還需要先進行轉義動作,而不同數據庫的規則又并不完全一樣,這就會影響報表的兼容性。
日期類型參數是最常出現這種麻煩的情況,例如查詢訂購日期為 2014-12-01 號的訂單信息,如果使用 Oracle 數據庫,那么宏值寫法是:
訂購日期 =TO_DATE(‘2014-12-01′,’yyyy-mm-dd’)
如果使用 Mysql 數據庫,那么宏值寫法為:
訂購日期 = DATE_FORMAT(‘2014-12-01′,’yyyy-mm-dd’)
使用 SQL 參數就沒有這個問題,數據庫接口能直接識別各種數據類型的參數, 直接傳入參數值即可,沒必要再做這種拼串動作,也就不存在兼容性的問題了。
使用宏還存在安全風險,WEB 中使用報表時,參數可能是網頁生成并傳到后臺的,而網頁有可能是被黑客攻擊改寫的,那么就有可能將惡意的參數值傳到后臺拼入 SQL 語句,欺騙服務器執行惡意 SQL 命令。這就是我們常說的 SQL 植入風險。
比如,在前面的宏表達式示例中,如果有人將 search 值改寫成:
1=1 UNION SELECT userid,password,null,… FROM user
那么就可能造成關鍵信息泄露。解決這個問題并不很簡單,把原始 SQL 改寫成這樣
select … where (${search})
看起來是可以擋住上面那種攻擊了,但仍然可以設計出新的植入串攻擊(讀者有興趣可以作為一個練習題來試試),要改成為這種很麻煩的樣子才行:
select…from…where(${search}) and ${search}
顯然,這種語句需要有強烈安全意識的老司機才能做到,而一般報表開發人員這方面相對會弱一些。所以宏不能亂用,能不用則不用。而使用 SQL 參數就沒有這個風險,雖然參數沒有宏靈活,但顯然安全性對報表工具是必不可少的。 個別報表工具為了省事只提供宏實現查詢條件,看起來是靈活了,但其實是相當不負責任的做法,在選擇報表工具時一定要注意。
如果使用潤乾報表,上面的問題就簡單多了,潤乾報表 5 中新增了對參數檢驗的功能,這就即可享受宏的靈活性,又能很輕松地擋住這種攻擊。仍以上面的業務場景為例,實現步驟如下:
在報表中定義一個宏命名為:search,數據集 SQL 為:
select 訂單 ID, 客戶 ID, 訂購日期, 發貨日期, 運貨商, 貨主名稱, 貨主地區, 訂單金額 from 訂單信息表 where ${search}
在【安裝目錄】\esProc\config\raqsoftConfig.xml 文件中的 disallowedParamWordList 屬性里配置禁用字符串,配置多個字符串時使用逗號分隔,例如
<property name=”disallowedParamWordList” value=”union, user”/>
將會在參數中禁用“union”與“user”,即含有這些串的參數將被拒絕。
用 tag 標簽 paramCheck 來控制報表是否要做此校驗,paramCheck=”yes”表示接受校驗,paramCheck=”no”表示不作校驗,不配置該標簽時默認為接受校驗。這樣,不是所有報表都一定會被檢查,有些可以確認安全的報表就不必再檢查以獲得靈活性。
這些都完成后,在 web 端瀏覽報表時,用戶輸入的檢索條件會在報表參數校驗通過后才傳遞給報表,最終拼接到數據集 SQL 中,不合法的參數值將被拒絕,從而避免了上例中 SQL 植入的風險。
詳情鏈接:
http://c.raqsoft.com.cn/article/1533179117653?r=gxy
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
