Introduction de base à la bibliothèque JasperReports

1. Présentation
En pratique, on constate que la demande de statistiques et l’exportation de données dans un certain format sont très courantes. Par exemple, nous recevons des demandes d'exportation de rapports statistiques clients, de factures de vente, de factures d'achat, etc. Cela nécessite des personnes (en particulier des programmeurs) pour créer un logiciel. Vous pouvez créer de manière flexible des modèles vers lesquels exporter des données en fonction de chaque situation et exigence spécifiques. Vous pouvez immédiatement penser à la solution comme utilisant Word, Excel, ..., cependant cette solution n'est pas adaptée à de grandes quantités de données qui peuvent changer continuellement et se développer en peu de temps, et nécessite également de payer des frais de logiciel et du temps de traitement des données. n'est pas optimal.
Il existe actuellement une solution très populaire : la bibliothèque JasperReports, que de nombreux programmeurs préfèrent utiliser.
En particulier, cette bibliothèque est open source et dispose d'une version gratuite. Vous pouvez accéder à son code source sur : https://github.com/TIBCOSoftware/jasperreports

2. Mode d'emploi
Il existe de nombreuses instructions sur la façon d'utiliser cette bibliothèque en ligne, je n'écrirai donc pas en détail ici.
Si vous utilisez Eclipse, JasperReports dispose d'un plugin supplémentaire pour vous aider à créer des modèles de rapport.
Dans cet article, je vais vous guider pour l'utiliser sur IntelliJ IDEA, le gestionnaire de bibliothèque est maven.
Tout d’abord, vous avez besoin d’un modèle pour remplir les données (comme les commandes, les factures, etc.). Pour ce faire, veuillez télécharger et installer le logiciel Jaspersoft Studio (le lien de la dernière version communautaire est actuellement https://community.jaspersoft.com/files/file/19-jaspersoft®-studio-community-edition /?do=getNewComment).
Après installation et ouverture, le logiciel aura l'interface suivante :

Pour créer un nouveau modèle, accédez à Fichier -> Nouveau -> Rapport Jasper. Dans la section Tous, choisissez Blank A4 (ou un autre modèle que vous aimez :>).

Cliquez sur Suivant, projetez où enregistrer le fichier. Cliquez sur Suivant -> Suivant -> Finition. La nouvelle interface qui apparaît est l'écran de modèle, où vous pouvez librement concevoir selon votre modèle.

À droite se trouvent les objets pris en charge par la bibliothèque.

Supposons que je doive créer un formulaire de facture d'achat simple avec le titre et le nom de l'article. Je vais glisser et déposer l'objet "Texte statique" dans le modèle et saisir le nom "FACTURE D'ACHAT" (vous pouvez ajuster vous-même le format dans le coin droit de l'écran).
Ensuite, je fais glisser 2 autres objets comme ça mais je crée les catégories d'éléments sous "Livres" et "Stylos".
Ensuite, je dois ajouter les prix de ces 2 articles. Cette valeur est dynamique, je dois donc inclure une variable ici (c'est aussi une fonctionnalité assez intéressante et flexible de cette bibliothèque). Dans la section Plan, section Paramètres, cliquez avec le bouton droit et sélectionnez "Créer un paramètre". Ensuite j'ai modifié la valeur de cette variable dans la fenêtre du coin droit, le nom de la variable est livre et le type de données est un nombre réel.

Ensuite, je l'ai glissé et déposé à côté de l'étiquette "Livre". Idem avec la variable « stylo », et le montant total. Ici, le montant total d'argent que vous pouvez attribuer est égal à la somme des variables « livre » et « stylo ».
Après avoir terminé le modèle, il ressemblera à ceci

Vous passez à l'onglet source, et ce sont les données que le système va traiter. Fondamentalement, Jasper Report recevra les données d'entrée dans un format de fichier similaire à XML, mais les noms de balises seront prédéfinis par la bibliothèque. Par exemple, les balises d'ouverture et de fermeture de la superclasse du fichier entier doivent être la balise "jasperReport". Voici quelques symboles de modèles auxquels vous devez prêter attention :

• "$P{}" : données ajoutées dynamiquement au rapport, peuvent être une paire clé-valeur, peuvent être une source de données.
• "$F{}" : champ de données complexe ajouté au rapport à partir de la source de données.
• "$V{}" : Les données sont automatiquement générées selon une expression existante ou ajoutées manuellement. ... Vous pouvez vous référer à plus d'informations sur (https://www.tutorialspoint.com/jasper_reports/jasper_report_expression.htm)

Une fois que vous avez terminé, vous pouvez commencer à copier ce fichier dans votre projet pour remplir les données et les traiter.
Ensuite vous procédez à l'importation de la bibliothèque suivante :

    <dependency>
      <groupid>net.sf.jasperreports</groupid>
      <artifactid>jasperreports</artifactid>
      <version>6.21.0</version>
    </dependency>

    <dependency>
      <groupid>net.sf.jasperreports</groupid>
      <artifactid>jasperreports-fonts</artifactid>
      <version>6.21.0</version>
    </dependency>

Continuez à écrire du code pour importer des fichiers et remplir des données.

final String outputFilename = "report.pdf";
Files.deleteIfExists(new File(outputFilename).toPath());
InputStream inputStream = Main.class.getResourceAsStream("/report.jrxml");
Map<string object> parameters = new HashMap();
parameters.put("book", 55000);
parameters.put("pen", 11111.1111);
JasperReport jasperReport = JasperCompileManager.compileReport(inputStream);
JasperPrint jasperPrint = JasperFillManager.fillReport(jasperReport, null, new JREmptyDataSource());
JasperExportManager.exportReportToPdfFile(jasperPrint, outputFilename);
</string>

Ici, parce qu'on remplit directement, on peut utiliser la classe Map. Si vous souhaitez remplir les données de la source de données (Base de données, ...), vous pouvez vous référer à (https://www.baeldung.com/spring-jasper).
Les résultats sont les suivants

3. Programmation sécurisée
Parce que dans le processus de rendu de ce modèle, la bibliothèque exécute également des fonctions qu'elle contient, donc si les utilisateurs peuvent personnaliser les balises du modèle, les attaquants ajouteront des balises malveillantes capables d'exécuter des commandes. Cette erreur est assez similaire à SSTI.
Supposons que les utilisateurs soient autorisés à modifier directement dans le modèle. Le code source est le suivant :

final String outputFilename = "out.pdf";
Files.deleteIfExists(new File(outputFilename).toPath());
String input = "";
String template = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<jasperreport xmlns='\"http://jasperreports.sourceforge.net/jasperreports\"' xmlns:xsi='\"http://www.w3.org/2001/XMLSchema-instance\"' xsi:schemalocation='\"http://jasperreports.sourceforge.net/jasperreports' http: name='\"z\"' pagewidth='\"500\"' pageheight='\"1200\"' columnwidth='\"270\"'>\n" + input + "</jasperreport>";
InputStream inputStream = new ByteArrayInputStream(template.getBytes());
JasperReport jasperReport = JasperCompileManager.compileReport(inputStream);
JasperPrint jasperPrint = JasperFillManager.fillReport(jasperReport, null, new JREmptyDataSource());
JasperExportManager.exportReportToPdfFile(jasperPrint, outputFilename);

L'attaquant remplit des fonctions malveillantes pour prendre le contrôle du système :

String input = "<parameter name="cmd">



<p>En conséquence, la commande est exécutée. Le fichier « out.pdf » a le contenu suivant :</p>

<p><img src="/static/imghwm/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/173597147572303.jpg?x-oss-process=image/resize,p_40" class="lazy" alt="Giới thiệu căn bản về thư viện JasperReports"></p>

<p>Les programmeurs doivent donc également faire attention à ne pas laisser les utilisateurs saisir du contenu directement dans le modèle.<br>
De plus, cette bibliothèque présente également des vulnérabilités dans les anciennes versions (<em>CVE-2018-18809, CVE-2022-42889</em>, ...), lors de la programmation, nous devons noter que nous devons utiliser la dernière version et mise à jour. régulièrement.</p>


          

            
        </parameter>

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!