1. Einführung
In der Praxis sehen wir, dass die Anfrage nach Statistiken und dem Export von Daten in einem bestimmten Format sehr h?ufig vorkommt. Wir erhalten beispielsweise Anfragen zum Exportieren von Kundenstatistikberichten, Verkaufsrechnungen, Einkaufsrechnungen usw. Dazu müssen Mitarbeiter (insbesondere Programmierer) Software erstellen. Sie k?nnen flexibel Vorlagen erstellen, um Daten entsprechend jeder spezifischen Situation und Anforderung zu exportieren. Sie denken vielleicht sofort an die L?sung mit Word, Excel usw. Diese L?sung eignet sich jedoch nicht für gro?e Datenmengen, die sich st?ndig ?ndern und in kurzer Zeit weiterentwickeln k?nnen, und erfordert au?erdem die Zahlung von Softwaregebühren und Datenverarbeitungszeit ist nicht optimal.
Derzeit gibt es eine recht beliebte L?sung – die JasperReports-Bibliothek, die viele Programmierer bevorzugen.
Insbesondere ist diese Bibliothek Open Source und verfügt über eine kostenlose Version. Sie k?nnen auf den Quellcode zugreifen unter: https://github.com/TIBCOSoftware/jasperreports

2. Gebrauchsanweisung
Es gibt viele Anleitungen zur Nutzung dieser Bibliothek online, daher werde ich hier nicht n?her darauf eingehen.
Wenn Sie Eclipse verwenden, verfügt JasperReports über ein zus?tzliches Plugin, das Sie bei der Erstellung von Berichtsvorlagen unterstützt.
In diesem Artikel werde ich Sie bei der Verwendung auf IntelliJ IDEA anleiten, der Bibliotheksmanager ist maven.
Zun?chst ben?tigen Sie eine Vorlage zum Ausfüllen von Daten (z. B. Bestellungen, Rechnungen usw.). Laden Sie dazu bitte die Jaspersoft Studio-Software herunter und installieren Sie sie (der Link zur neuesten Community-Version ist derzeit https://community.jaspersoft.com/files/file/19-jaspersoft?-studio-community-edition /?do=getNewComment).
Nach der Installation und dem ?ffnen verfügt die Software über die folgende Oberfl?che:

Um eine neue Vorlage zu erstellen, gehen Sie zu Datei -> Neu -> Jasper-Bericht. W?hlen Sie im Abschnitt ?Alle“ die Option ?Leeres A4“ (oder eine andere Vorlage, die Ihnen gef?llt:>).

Klicken Sie auf Weiter und geben Sie an, wo die Datei gespeichert werden soll. Klicken Sie auf Weiter -> Weiter -> Beenden. Die neue Oberfl?che, die angezeigt wird, ist der Vorlagenbildschirm, auf dem Sie frei nach Ihrer Vorlage gestalten k?nnen.

Auf der rechten Seite befinden sich von der Bibliothek unterstützte Objekte.

Angenommen, ich muss ein einfaches Einkaufsrechnungsformular mit Titel und Artikelname erstellen. Ich ziehe das Objekt ?Statischer Text“ per Drag & Drop in die Vorlage und gebe den Namen ?KAUFRECHNUNG“ ein (Sie k?nnen das Format in der rechten Ecke des Bildschirms selbst anpassen).
Als n?chstes ziehe ich zwei weitere Objekte dieser Art, erstelle aber die Artikelkategorien darunter ?Bücher“ und ?Stifte“.
Als n?chstes muss ich die Preise dieser beiden Artikel hinzufügen. Dieser Wert ist dynamisch, daher muss ich hier eine Variable einfügen (dies ist auch eine recht interessante und flexible Funktion dieser Bibliothek). Klicken Sie im Abschnitt ?Gliederung“ im Abschnitt ?Parameter“ mit der rechten Maustaste und w?hlen Sie ?Parameter erstellen“. Dann habe ich den Wert dieser Variablen im rechten Eckfenster ge?ndert, der Variablenname ist Buch und der Datentyp ist reelle Zahl.

Dann habe ich es per Drag & Drop neben die Beschriftung ?Buch“ gezogen. Das Gleiche gilt für die Variable ?Stift“ und den Gesamtbetrag. Hier entspricht der Gesamtbetrag, den Sie zuweisen k?nnen, der Summe der Variablen ?Buch“ und ?Stift“.
Nachdem Sie die Vorlage ausgefüllt haben, wird sie so aussehen

Sie wechseln zur Registerkarte ?Quelle“, und das sind die Daten, die das System verarbeiten wird. Grunds?tzlich empf?ngt Jasper Report Eingabedaten in einem XML-?hnlichen Dateiformat, die Tag-Namen werden jedoch von der Bibliothek vordefiniert. Beispielsweise müssen die ?ffnenden und schlie?enden Tags der Oberklasse der gesamten Datei das Tag ?jasperReport“ sein. Hier sind einige Vorlagensymbole, auf die Sie achten müssen:

• ?$P{}“: Dem Bericht dynamisch hinzugefügte Daten, k?nnen ein Schlüssel-Wert-Paar oder eine Datenquelle sein.
• ?$F{}“: komplexes Datenfeld zum Bericht aus der Datenquelle hinzugefügt.
• "$V{}": Daten werden automatisch gem?? einem vorhandenen Ausdruck generiert oder manuell hinzugefügt. ... Weitere Informationen finden Sie unter (https://www.tutorialspoint.com/jasper_reports/jasper_report_expression.htm)

Sobald Sie fertig sind, k?nnen Sie mit dem Kopieren dieser Datei in Ihr Projekt beginnen, um die Daten einzugeben und zu verarbeiten.
Anschlie?end importieren Sie die folgende Bibliothek:

    <dependency>
      <groupId>net.sf.jasperreports</groupId>
      <artifactId>jasperreports</artifactId>
      <version>6.21.0</version>
    </dependency>

    <dependency>
      <groupId>net.sf.jasperreports</groupId>
      <artifactId>jasperreports-fonts</artifactId>
      <version>6.21.0</version>
    </dependency>

Schreiben Sie weiterhin Code, um Dateien zu importieren und Daten auszufüllen.

final String outputFilename = "report.pdf";
Files.deleteIfExists(new File(outputFilename).toPath());
InputStream inputStream = Main.class.getResourceAsStream("/report.jrxml");
Map<String, Object> parameters = new HashMap<>();
parameters.put("book", 55000);
parameters.put("pen", 11111.1111);
JasperReport jasperReport = JasperCompileManager.compileReport(inputStream);
JasperPrint jasperPrint = JasperFillManager.fillReport(jasperReport, null, new JREmptyDataSource());
JasperExportManager.exportReportToPdfFile(jasperPrint, outputFilename);

Da wir hier direkt füllen, k?nnen wir die Map-Klasse verwenden. Wenn Sie Daten aus einer Datenquelle (Datenbank, ...) füllen m?chten, k?nnen Sie auf (https://www.baeldung.com/spring-jasper) verweisen.
Die Ergebnisse sind wie folgt

3. Sichere Programmierung
Denn beim Rendern dieser Vorlage führt die Bibliothek auch darin enthaltene Funktionen aus. Wenn Benutzer also Vorlagen-Tags anpassen k?nnen, fügen Angreifer b?sartige Tags hinzu, die Befehle ausführen k?nnen. Dieser Fehler ist SSTI ziemlich ?hnlich.
Angenommen, Benutzer dürfen die Vorlage direkt bearbeiten. Der Quellcode lautet wie folgt:

final String outputFilename = "out.pdf";
Files.deleteIfExists(new File(outputFilename).toPath());
String input = "";
String template = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<jasperReport xmlns=\"http://jasperreports.sourceforge.net/jasperreports\" xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:schemaLocation=\"http://jasperreports.sourceforge.net/jasperreports http://jasperreports.sourceforge.net/xsd/jasperreport.xsd\" name=\"z\" pageWidth=\"500\" pageHeight=\"1200\" columnWidth=\"270\">\n" + input + "</jasperReport>";
InputStream inputStream = new ByteArrayInputStream(template.getBytes());
JasperReport jasperReport = JasperCompileManager.compileReport(inputStream);
JasperPrint jasperPrint = JasperFillManager.fillReport(jasperReport, null, new JREmptyDataSource());
JasperExportManager.exportReportToPdfFile(jasperPrint, outputFilename);

Angreifer fügt b?sartige Funktionen ein, um die Kontrolle über das System zu übernehmen:

String input = "<parameter name="cmd">



<p>Als Ergebnis wird der Befehl ausgeführt. Die Datei ?out.pdf“ hat folgenden Inhalt:</p>

<p><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/173597147572303.jpg" class="lazy" alt="Gi?i thi?u c?n b?n v? th? vi?n JasperReports"></p>

<p>Daher müssen Programmierer auch darauf achten, dass Benutzer Inhalte nicht direkt in die Vorlage eingeben.<br>
Darüber hinaus weist diese Bibliothek auch Schwachstellen in ?lteren Versionen auf (<em>CVE-2018-18809, CVE-2022-42889</em>, ...), bei der Programmierung sollten wir beachten, dass wir die neueste und aktualisierte Version verwenden sollten regelm??ig.</p>


          

            
        

Das obige ist der detaillierte Inhalt vonGrundlegende Einführung in die JasperReports-Bibliothek. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!