Pengenalan asas kepada perpustakaan JasperReports

1. Pengenalan
Dalam amalan, kami melihat bahawa permintaan untuk statistik dan mengeksport data dalam format tertentu adalah sangat biasa. Contohnya, kami menerima permintaan untuk mengeksport laporan statistik pelanggan, invois jualan, invois pembelian, dll. Ini memerlukan orang (terutama pengaturcara) untuk mencipta perisian Anda boleh membuat templat untuk mengeksport data mengikut setiap situasi dan keperluan tertentu. Anda mungkin dengan serta-merta menganggap penyelesaian itu sebagai menggunakan Word, Excel, ..., namun penyelesaian ini tidak sesuai untuk sejumlah besar data yang boleh berubah secara berterusan dan berkembang dalam masa yang singkat, sementara Ia juga memerlukan pembayaran yuran perisian dan masa pemprosesan data tidak optimum.
Pada masa ini terdapat penyelesaian yang agak popular - perpustakaan JasperReports yang lebih suka digunakan oleh ramai pengaturcara.
Khususnya, perpustakaan ini adalah sumber terbuka dan mempunyai versi percuma. Anda boleh mengakses kod sumbernya di: https://github.com/TIBCOSoftware/jasperreports

2. Arahan penggunaan
Terdapat banyak arahan tentang cara menggunakan perpustakaan ini dalam talian, jadi saya tidak akan menulis secara terperinci di sini.
Jika anda menggunakan Eclipse, JasperReports mempunyai pemalam tambahan untuk membantu anda membuat templat laporan.
Dalam artikel ini, saya akan membimbing anda untuk menggunakannya pada IntelliJ IDEA, pengurus perpustakaan itu mahir.
Pertama, anda memerlukan templat untuk mengisi data (seperti pesanan, invois, dll.). Untuk melakukan ini, sila muat turun dan pasang perisian Jaspersoft Studio (pautan versi Komuniti terkini ialah https://community.jaspersoft.com/files/file/19-jaspersoft®-studio-community-edition /?do=getNewComment).
Selepas memasang dan membuka, perisian akan mempunyai antara muka berikut:

Untuk mencipta templat baharu, pergi ke Fail -> Baharu -> Laporan Jasper. Dalam bahagian Semua, pilih Kosong A4 (atau templat lain yang anda suka:>).

Klik Seterusnya, tunjuk tempat untuk menyimpan fail. Klik Seterusnya -> Seterusnya -> Selesai. Antara muka baharu yang muncul ialah skrin templat, di mana anda boleh mereka bentuk secara bebas mengikut templat anda.

Di sebelah kanan ialah objek yang disokong oleh perpustakaan.

Andaikan saya perlu mencipta borang invois pembelian ringkas dengan tajuk dan nama item. Saya akan seret dan lepas objek "Teks statik" ke dalam templat dan masukkan nama "INVOIS PEMBELIAN" (anda boleh melaraskan sendiri format di penjuru kanan skrin).
Seterusnya, saya menyeret 2 lagi objek seperti itu tetapi membuat kategori item di bawah "Buku" dan "Pen".
Seterusnya saya perlu menambah harga 2 item ini. Nilai ini dinamik jadi saya perlu memasukkan pembolehubah di sini (ini juga merupakan ciri yang agak menarik dan fleksibel bagi perpustakaan ini). Dalam bahagian garis besar, bahagian Parameter, klik kanan dan pilih "Buat Parameter". Kemudian saya mengubah suai nilai pembolehubah ini di tetingkap sudut kanan, nama pembolehubah ialah buku dan jenis data ialah nombor nyata.

Kemudian saya menyeret dan menjatuhkannya di sebelah label "Buku". Sama dengan pembolehubah "pen", dan jumlah keseluruhan. Di sini jumlah wang yang anda boleh berikan adalah sama dengan jumlah pembolehubah "buku" dan "pen".
Selepas melengkapkan templat, ia akan kelihatan seperti ini

Anda beralih ke tab sumber, dan ini adalah data yang akan diproses oleh sistem. Pada asasnya, Laporan Jasper akan menerima data input dalam format fail yang serupa dengan XML, tetapi nama teg akan dipratakrifkan oleh perpustakaan. Contohnya, teg pembukaan dan penutup kelas super bagi keseluruhan fail mestilah teg "jasperReport". Berikut ialah beberapa simbol templat yang mesti anda perhatikan:

• "$P{}": data ditambah secara dinamik pada laporan, boleh menjadi pasangan nilai kunci, boleh menjadi sumber data.
• "$F{}": medan data kompleks ditambahkan pada laporan daripada sumber data.
• "$V{}": Data dijana secara automatik mengikut ungkapan sedia ada atau ditambah secara manual. ... Anda boleh merujuk lebih lanjut di (https://www.tutorialspoint.com/jasper_reports/jasper_report_expression.htm)

Selepas anda selesai, anda boleh mula menyalin fail ini ke dalam projek anda untuk mengisi data dan memprosesnya.
Kemudian anda teruskan mengimport pustaka berikut:

    <dependency>
      <groupid>net.sf.jasperreports</groupid>
      <artifactid>jasperreports</artifactid>
      <version>6.21.0</version>
    </dependency>

    <dependency>
      <groupid>net.sf.jasperreports</groupid>
      <artifactid>jasperreports-fonts</artifactid>
      <version>6.21.0</version>
    </dependency>

Teruskan menulis kod untuk mengimport fail dan mengisi data.

final String outputFilename = "report.pdf";
Files.deleteIfExists(new File(outputFilename).toPath());
InputStream inputStream = Main.class.getResourceAsStream("/report.jrxml");
Map<string object> parameters = new HashMap();
parameters.put("book", 55000);
parameters.put("pen", 11111.1111);
JasperReport jasperReport = JasperCompileManager.compileReport(inputStream);
JasperPrint jasperPrint = JasperFillManager.fillReport(jasperReport, null, new JREmptyDataSource());
JasperExportManager.exportReportToPdfFile(jasperPrint, outputFilename);
</string>

Di sini, kerana kami mengisi terus, kami boleh menggunakan kelas Map. Jika anda ingin mengisi data daripada sumber data (Pangkalan Data, ...), anda boleh merujuk kepada (https://www.baeldung.com/spring-jasper).
Keputusan adalah seperti berikut

3. Pengaturcaraan selamat
Kerana dalam proses memaparkan templat ini, pustaka juga melaksanakan fungsi di dalamnya, jadi jika pengguna boleh menyesuaikan teg templat, penyerang akan menambah teg berniat jahat yang boleh melaksanakan arahan. Ralat ini agak serupa dengan SSTI.
Katakan pengguna dibenarkan mengedit terus ke dalam templat. Kod sumber adalah seperti berikut:

final String outputFilename = "out.pdf";
Files.deleteIfExists(new File(outputFilename).toPath());
String input = "";
String template = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<jasperreport xmlns='\"http://jasperreports.sourceforge.net/jasperreports\"' xmlns:xsi='\"http://www.w3.org/2001/XMLSchema-instance\"' xsi:schemalocation='\"http://jasperreports.sourceforge.net/jasperreports' http: name='\"z\"' pagewidth='\"500\"' pageheight='\"1200\"' columnwidth='\"270\"'>\n" + input + "</jasperreport>";
InputStream inputStream = new ByteArrayInputStream(template.getBytes());
JasperReport jasperReport = JasperCompileManager.compileReport(inputStream);
JasperPrint jasperPrint = JasperFillManager.fillReport(jasperReport, null, new JREmptyDataSource());
JasperExportManager.exportReportToPdfFile(jasperPrint, outputFilename);

Penyerang mengisi fungsi berniat jahat untuk mengawal sistem:

Input rentetan = "<parameter name="cmd">



<p>Akibatnya, arahan itu dilaksanakan. Fail "out.pdf" mempunyai kandungan berikut:</p>

<p><img src="/static/imghwm/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/173597147572303.jpg?x-oss-process=image/resize,p_40" class="lazy" alt="Giới thiệu căn bản về thư viện JasperReports"></p>

<p>Jadi pengaturcara juga mesti berhati-hati untuk tidak membenarkan pengguna memasukkan kandungan terus ke dalam templat.<br>
Selain itu, pustaka ini juga mempunyai kelemahan dalam versi lama (<em>CVE-2018-18809, CVE-2022-42889</em>, ...), semasa pengaturcaraan kita harus ambil perhatian bahawa kita harus menggunakan versi terkini dan dikemas kini selalu.</p>


          

            
        </parameter>

Atas ialah kandungan terperinci Pengenalan asas kepada perpustakaan JasperReports. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!