1。简介
在实践中,我们看到以某种格式统计和导出数据的请求是很常见的。例如,我们收到导出客户统计报告、销售发票、采购发票等的请求,这需要人们(尤其是程序员)创建软件,您可以根据每个具体情况和要求灵活创建导出数据的模板。你可能立刻想到的解决方案是使用word、excel……,但是这种解决方案不适合大量不断变化、短时间内发展的数据,同时还需要支付软件费用和数据处理时间不是最佳的。
目前有一个相当流行的解决方案——很多程序员都喜欢使用的jasperreports库。
特别是,这个库是开源的,并且有免费版本。您可以访问其源代码:https://github.com/tibcosoftware/jasperreports
2。使用说明
关于如何使用这个库网上有很多说明,这里就不详细写了
如果您使用 eclipse,jasperreports 有一个额外的插件可以帮助您创建报告模板。
在这篇文章中,我将指导您在intellij idea上使用它,库管理器是maven。
首先,您需要一个模板来填写数据(如订单、发票等)。为此,请下载并安装 jaspersoft studio 软件(当前最新的社区版本链接为 https://community.jaspersoft.com/files/file/19-jaspersoft®-studio-community-edition/?do=getnewcomment).
安装并打开后,软件会有如下界面:
要创建新模板,请转到文件 -> 新建 -> jasper 报告。在“全部”部分中,选择“空白 a4”(或您喜欢的其他模板:>)。
单击“下一步”,指定文件的保存位置。单击下一步 -> 下一步 -> 完成。出现的新界面是模板界面,您可以根据自己的模板自由设计。
右侧是库支持的对象。
假设我必须创建一个带有标题和商品名称的简单购买发票表格。我将“静态文本”对象拖放到模板中,并输入名称“采购发票”(您可以在屏幕右上角自行调整格式)。
接下来,我再拖动 2 个类似的对象,但将项目类别设置在“书籍”和“钢笔”下方。
接下来我必须添加这 2 件商品的价格。这个值是动态的,所以我必须在这里放置一个变量(这也是这个库的一个非常有趣和灵活的功能)。在大纲部分、参数部分中,右键单击并选择“创建参数”。然后我在右角窗口修改了这个变量的值,变量名为book,数据类型为实数。
然后我将其拖放到“book”标签旁边。与变量“笔”和总量相同。这里你可以分配的总金额等于变量“book”和“pen”的总和。
完成模板后,它会是这样的
前台功能介绍:1、网页首页显示有高级会员推荐,精品推荐,商业机会分类列表,最新供求信息,网站动态,推荐企业,行业动态等;2、商业机会栏目功能有:二级分类,已经带有详细分类的数据库,后台可以更改增加操作,并可以推荐公司,栏目分为分类显示信息,最新的采购、供应、合作和代理信息,搜索时同样按分类,信息,时间,交易类型等搜索;3、展厅展品栏目功能:二级分类,已经带有详细分类的数据库,后台可以更改增加操作,
您切换到源选项卡,这是系统将处理的数据。基本上,jasper report 将以类似于 xml 的文件格式接收输入数据,但标签名称将由库预先定义。例如,整个文件的超类的开始和结束标记必须是“jasperreport”标记。以下是一些必须注意的模板符号:
- “$p{}”:动态添加到报表中的数据,可以是键值对,可以是数据源。
- “$f{}”:从数据源添加到报告的复杂数据字段。
- “$v{}”:根据现有表达式自动生成数据或手动添加数据。 ... 您可以阅读更多内容 (https://www.tutorialspoint.com/jasper_reports/jasper_report_expression.htm)
完成后,您可以开始将此文件复制到您的项目中以填充数据并进行处理。
然后继续导入以下库:
net.sf.jasperreports jasperreports 6.21.0 net.sf.jasperreports jasperreports-fonts 6.21.0
继续编写代码导入文件并填充数据。
final string outputfilename = "report.pdf";
files.deleteifexists(new file(outputfilename).topath());
inputstream inputstream = main.class.getresourceasstream("/report.jrxml");
map parameters = new hashmap<>();
parameters.put("book", 55000);
parameters.put("pen", 11111.1111);
jasperreport jasperreport = jaspercompilemanager.compilereport(inputstream);
jasperprint jasperprint = jasperfillmanager.fillreport(jasperreport, null, new jremptydatasource());
jasperexportmanager.exportreporttopdffile(jasperprint, outputfilename);
这里,因为我们直接填充,所以可以使用map类。如果你想从数据源(database,...)填充数据,可以参考(https://www.baeldung.com/spring-jasper).
结果如下
3。安全编程
因为在渲染这个模板的过程中,库也会执行其中的函数,所以如果用户可以自定义模板标签,攻击者就会添加可以执行命令的恶意标签。此错误与 ssti 非常相似。
假设允许用户直接编辑模板。源码如下:
final string outputfilename = "out.pdf"; files.deleteifexists(new file(outputfilename).topath()); string input = ""; string template = "\n\n" + input + " "; inputstream inputstream = new bytearrayinputstream(template.getbytes()); jasperreport jasperreport = jaspercompilemanager.compilereport(inputstream); jasperprint jasperprint = jasperfillmanager.fillreport(jasperreport, null, new jremptydatasource()); jasperexportmanager.exportreporttopdffile(jasperprint, outputfilename);
攻击者填充恶意函数来控制系统:
String input = "\n" + " \n" + " \n" + "\"id\" \n" + "\n" + " \n";\n" + " \n" + " \n" + "\n" + " \n" + "\n" + " \n" + "\n" + " \n" + " \n" + " \n" + "
结果,命令被执行。文件“out.pdf”包含以下内容:
所以程序员也必须小心,不要让用户直接在模板中输入内容。
另外,该库在旧版本中也存在漏洞(cve-2018-18809、cve-2022-42889、...),编程时应注意使用最新版本。定期更新。
