001/* 002 * Copyright (c) 2009 The openGion Project. 003 * 004 * Licensed under the Apache License, Version 2.0 (the "License"); 005 * you may not use this file except in compliance with the License. 006 * You may obtain a copy of the License at 007 * 008 * http://www.apache.org/licenses/LICENSE-2.0 009 * 010 * Unless required by applicable law or agreed to in writing, software 011 * distributed under the License is distributed on an "AS IS" BASIS, 012 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, 013 * either express or implied. See the License for the specific language 014 * governing permissions and limitations under the License. 015 */ 016package org.opengion.hayabusa.taglib; 017 018import org.opengion.hayabusa.common.HybsSystem; 019import org.opengion.fukurou.util.ToString; // 6.1.1.0 (2015/01/17) 020 021import static org.opengion.fukurou.util.StringUtil.nval ; 022 023/** 024 * 指定された value 値の{@XXXX} 変数が設定された場合のみ表示するタグです。 025 * 026 * value 値に、{@XXXX} 変数を使用して、リクエスト値が設定された場合のみ 027 * その値を表示します。これは、{@XXXX} 変数と固定値を組み合わせた場合でも 028 * 同様に、値が設定されていない場合は、使用されません。 029 * defaultVal が設定されており、リクエスト値が設定されていない場合、defaultVal 値が 030 * 使用されます。 031 * このタグが使用されるケースの代表は、SQLでの order by 句です。一般のリクエスト時には、 032 * order by 句をリクエストで設定して、ユーザーが検索する時に、切り替えができるように 033 * します。別画面から、リンク等で画面を呼び出す場合は、通常 order by 句の条件まで、 034 * 指定しません。そのような場合に備えて、og:appear タグでdefaultVal 値を設定しておき、 035 * 未指定時の検索順を予め指定しておきます。 036 * 037 * @og.formSample 038 * ●形式:<og:appear startKey="[order by|…]" value="…" defaultVal="[…]" /> 039 * ●body:なし 040 * 041 * ●Tag定義 042 * <og:appear 043 * startKey 【TAG】開始文字列を設定します(初期値:"") 044 * value ○【TAG】値をセットします(指定された値が 設定されている場合のみ使用されます)(必須) 045 * defaultVal 【TAG】初期値を設定します(value値がNULLの場合に、この初期値が表示) 046 * quotCheck 【TAG】リクエスト情報の シングルクォート(') 存在チェックを実施するかどうか[true/false]を設定します (初期値:USE_SQL_INJECTION_CHECK[=true]) 047 * xssCheck 【TAG】リクエスト情報の HTMLTag開始/終了文字(><) 存在チェックを実施するかどうか[true/false]を設定します (初期値:USE_XSS_CHECK[=true]) 048 * debug 【TAG】デバッグ情報を出力するかどうか[true/false]を指定します(初期値:false) 049 * /> 050 * 051 * ●使用例 052 * <!-- DB検索 SQL文記述 debug="true" でSQL文を確認できます。--> 053 * <og:query command="{@command}" debug="{@debug}" maxRowCount="{@maxRowCount}"> 054 * select CLM,NAME_JA,LABEL_NAME,URL,KBSAKU, 055 * SYSTEM_ID,LANG,FGJ,(CASE WHEN URL IS NULL THEN 0 ELSE 1 END) AS ONMARK 056 * from GF41 057 * <!-- 検索条件でWhereTagを使用すれば{@xxxx}がNULLの場合、その条件は無視されます。 --> 058 * <og:where> 059 * <og:and value = "FGJ in ('0','1')" /> 060 * <og:and value = "SYSTEM_ID = '{@SYSTEM_ID}'" /> 061 * <og:and value = "LANG = '{@LANG}'" /> 062 * <og:and value = "CLM like '{@CLM}%'" /> 063 * <og:and value = "NAME_JA like '{@NAME_JA}%'" /> 064 * <og:and value = "LABEL_NAME like '{@LABEL_NAME}%'" /> 065 * <og:and value = "KBSAKU = '{@KBSAKU}'" /> 066 * </og:where> 067 * <!-- ORDER BY句でAppearTagを使用すれば{@ORDER_BY}がNULLの場合、ORDER BY句は無視されます。 --> 068 * <!-- また、{@ORDER_BY}がNULLの場合に、defaultVal属性を指定すれば、その値でORDER BY表示されます。 --> 069 * <og:appear startKey = "order by" value = "{@ORDER_BY}" 070 * defaultVal = "SYSTEM_ID,CLM,LANG" /> 071 * </og:query> 072 * 073 * @og.group 画面部品 074 * 075 * @version 4.0 076 * @author Kazuhiko Hasegawa 077 * @since JDK5.0, 078 */ 079public class AppearTag extends CommonTagSupport { 080 /** このプログラムのVERSION文字列を設定します。 {@value} */ 081 private static final String VERSION = "6.4.8.1 (2016/07/02)" ; 082 private static final long serialVersionUID = 648120160702L ; 083 084 private String startKey = ""; 085 private String value ; 086 private String defaultVal ; 087 private boolean quotCheck = HybsSystem.sysBool( "USE_SQL_INJECTION_CHECK" ); // 5.7.8.1 (2014/07/18) 088 private boolean xssCheck = HybsSystem.sysBool( "USE_XSS_CHECK" ); // 5.7.8.1 (2014/07/18) 089 090 /** 091 * デフォルトコンストラクター 092 * 093 * @og.rev 6.4.2.0 (2016/01/29) PMD refactoring. Each class should declare at least one constructor. 094 */ 095 public AppearTag() { super(); } // これも、自動的に呼ばれるが、空のメソッドを作成すると警告されるので、明示的にしておきます。 096 097 /** 098 * Taglibの開始タグが見つかったときに処理する doStartTag() を オーバーライドします。 099 * 100 * @og.rev 6.4.8.1 (2016/07/02) xssCheckを、doStartTag に移動 101 * 102 * @return 後続処理の指示( EVAL_BODY_BUFFERED ) 103 */ 104 @Override 105 public int doStartTag() { 106 useXssCheck( xssCheck ); // 6.4.8.1 (2016/07/02) 107 return SKIP_BODY ; // Body を評価しない 108 } 109 110 /** 111 * Taglibの終了タグが見つかったときに処理する doEndTag() を オーバーライドします。 112 * 113 * @og.rev 3.1.1.2 (2003/04/04) Tomcat4.1 対応。release2() を doEndTag()で呼ぶ。 114 * @og.rev 5.7.8.1 (2014/07/18) quotCheck,xssCheck 追加 115 * @og.rev 6.4.8.1 (2016/07/02) xssCheckを、doStartTag に移動 116 * 117 * @return 後続処理の指示(EVAL_PAGE) 118 */ 119 @Override 120 public int doEndTag() { 121 debugPrint(); // 4.0.0 (2005/02/28) 122 123 // 5.7.8.1 (2014/07/18) quotCheck,xssCheck 追加 124 useQuotCheck( quotCheck ); 125 126 String output = getRequestParameter( value ); 127 if( isNull() ) { 128 output = defaultVal; 129 } 130 131 if( output != null ) { 132 jspPrint( startKey + " " + output ); 133 } 134 135 return EVAL_PAGE ; 136 } 137 138 /** 139 * タグリブオブジェクトをリリースします。 140 * 141 * キャッシュされて再利用されるので、フィールドの初期設定を行います。 142 * 143 * @og.rev 2.0.0.4 (2002/09/27) カスタムタグの release() メソッドを、追加 144 * @og.rev 3.1.1.2 (2003/04/04) Tomcat4.1 対応。release2() を doEndTag()で呼ぶ。 145 * @og.rev 5.7.8.1 (2014/07/18) quotCheck , xssCheck 追加 146 * 147 */ 148 @Override 149 protected void release2() { 150 super.release2(); 151 startKey = ""; 152 value = null; 153 defaultVal = null; 154 quotCheck = HybsSystem.sysBool( "USE_SQL_INJECTION_CHECK" ); // 5.7.8.1 (2014/07/18) 155 xssCheck = HybsSystem.sysBool( "USE_XSS_CHECK" ); // 5.7.8.1 (2014/07/18) 156 } 157 158 /** 159 * 【TAG】開始文字列を設定します(初期値:"")。 160 * 161 * @og.tag 162 * このキーは、バリューと接続される場合に空白文字を一つ挿入します。 163 * 164 * @param val 開始文字列 (例:startKey="order by") 165 */ 166 public void setStartKey( final String val ) { 167 startKey = nval( getRequestParameter( val ),startKey ); 168 } 169 170 /** 171 * 【TAG】値をセットします(指定された値が 設定されている場合のみ使用されます)。 172 * 173 * @og.tag 174 * 指定された値が 設定されている場合のみ、開始文字列(startKey)と組み合わせれて、使用されます。 175 * これは、一般にvalue値が変動する場合に、defaultVal 等に重複する値を 176 * 設定したくない場合に使用します。{@XXXX}文字が使用できます。 177 * 178 * @param val 値 179 */ 180 public void setValue( final String val ) { 181 value = val; 182 } 183 184 /** 185 * 【TAG】value属性に値がセットされていないとき使用する、初期値を指定します。 186 * 187 * @og.tag 188 * value属性に値がセットされていないときに、この初期値を使用します。 189 * 190 * @param val 初期値 191 */ 192 public void setDefaultVal( final String val ) { 193 defaultVal = nval( getRequestParameter( val ),defaultVal ); 194 } 195 196 /** 197 * 【TAG】リクエスト情報の シングルクォート(') 存在チェックを実施するかどうか[true/false]を設定します 198 * (初期値:USE_SQL_INJECTION_CHECK[={@og.value SystemData#USE_SQL_INJECTION_CHECK}])。 199 * 200 * @og.tag 201 * SQLインジェクション対策の一つとして、暫定的ではありますが、SQLのパラメータに 202 * 渡す文字列にシングルクォート(') を許さない設定にすれば、ある程度は防止できます。 203 * 数字タイプの引数には、 or 5=5 などのシングルクォートを使用しないコードを埋めても、 204 * 数字チェックで検出可能です。文字タイプの場合は、必ず (')をはずして、 205 * ' or 'A' like 'A のような形式になる為、(')チェックだけでも有効です。 206 * (') が含まれていたエラーにする(true)/かノーチェックか(false)を指定します。 207 * (初期値:システム定数のUSE_SQL_INJECTION_CHECK[={@og.value SystemData#USE_SQL_INJECTION_CHECK}])。 208 * 209 * @og.rev 4.0.0.0 (2005/08/31) 新規追加 210 * 211 * @param flag クォートチェック [true:する/それ以外:しない] 212 * @see org.opengion.hayabusa.common.SystemData#USE_SQL_INJECTION_CHECK 213 */ 214 public void setQuotCheck( final String flag ) { 215 quotCheck = nval( getRequestParameter( flag ),quotCheck ); 216 } 217 218 /** 219 * 【TAG】リクエスト情報の HTMLTag開始/終了文字(><) 存在チェックを実施するかどうか[true/false]を設定します 220 * (初期値:USE_XSS_CHECK[={@og.value SystemData#USE_XSS_CHECK}])。 221 * 222 * @og.tag 223 * クロスサイトスクリプティング(XSS)対策の一環としてless/greater than signについてのチェックを行います。 224 * (><) が含まれていたエラーにする(true)/かノーチェックか(false)を指定します。 225 * (初期値:システム定数のUSE_XSS_CHECK[={@og.value SystemData#USE_XSS_CHECK}])。 226 * 227 * @og.rev 5.0.0.2 (2009/09/15) 新規追加 228 * 229 * @param flag XSSチェック [true:する/false:しない] 230 * @see org.opengion.hayabusa.common.SystemData#USE_XSS_CHECK 231 */ 232 public void setXssCheck( final String flag ) { 233 xssCheck = nval( getRequestParameter( flag ),xssCheck ); 234 } 235 236 /** 237 * このオブジェクトの文字列表現を返します。 238 * 基本的にデバッグ目的に使用します。 239 * 240 * @return このクラスの文字列表現 241 * @og.rtnNotNull 242 */ 243 @Override 244 public String toString() { 245 return ToString.title( this.getClass().getName() ) 246 .println( "VERSION" ,VERSION ) 247 .println( "startKey" ,startKey ) 248 .println( "value" ,value ) 249 .println( "defaultVal" ,defaultVal ) 250 .println( "Other..." ,getAttributes().getAttribute() ) 251 .fixForm().toString() ; 252 } 253}