001/* 002 * Copyright (c) 2009 The openGion Project. 003 * 004 * Licensed under the Apache License, Version 2.0 (the "License"); 005 * you may not use this file except in compliance with the License. 006 * You may obtain a copy of the License at 007 * 008 * http://www.apache.org/licenses/LICENSE-2.0 009 * 010 * Unless required by applicable law or agreed to in writing, software 011 * distributed under the License is distributed on an "AS IS" BASIS, 012 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, 013 * either express or implied. See the License for the specific language 014 * governing permissions and limitations under the License. 015 */ 016package org.opengion.hayabusa.taglib; 017 018import org.opengion.hayabusa.common.HybsSystem; 019import org.opengion.fukurou.util.ToString; // 6.1.1.0 (2015/01/17) 020 021import static org.opengion.fukurou.util.StringUtil.nval ; 022 023/** 024 * 指定された value 値の{@XXXX} 変数が設定された場合のみ表示するタグです。 025 * 026 * value 値に、{@XXXX} 変数を使用して、リクエスト値が設定された場合のみ 027 * その値を表示します。これは、{@XXXX} 変数と固定値を組み合わせた場合でも 028 * 同様に、値が設定されていない場合は、使用されません。 029 * defaultVal が設定されており、リクエスト値が設定されていない場合、defaultVal 値が 030 * 使用されます。 031 * このタグが使用されるケースの代表は、SQLでの order by 句です。一般のリクエスト時には、 032 * order by 句をリクエストで設定して、ユーザーが検索する時に、切り替えができるように 033 * します。別画面から、リンク等で画面を呼び出す場合は、通常 order by 句の条件まで、 034 * 指定しません。そのような場合に備えて、og:appear タグでdefaultVal 値を設定しておき、 035 * 未指定時の検索順を予め指定しておきます。 036 * 037 * @og.formSample 038 * ●形式:<og:appear startKey="[order by|…]" value="…" defaultVal="[…]" /> 039 * ●body:なし 040 * 041 * ●Tag定義 042 * <og:appear 043 * startKey 【TAG】開始文字列を設定します(初期値:"") 044 * value ○【TAG】値をセットします(指定された値が 設定されている場合のみ使用されます)(必須) 045 * defaultVal 【TAG】初期値を設定します(value値がNULLの場合に、この初期値が表示) 046 * quotCheck 【TAG】リクエスト情報の シングルクォート(') 存在チェックを実施するかどうか[true/false]を設定します (初期値:USE_SQL_INJECTION_CHECK[=true]) 047 * xssCheck 【TAG】リクエスト情報の HTMLTag開始/終了文字(><) 存在チェックを実施するかどうか[true/false]を設定します (初期値:USE_XSS_CHECK[=true]) 048 * debug 【TAG】デバッグ情報を出力するかどうか[true/false]を指定します(初期値:false) 049 * /> 050 * 051 * ●使用例 052 * <!-- DB検索 SQL文記述 debug="true" でSQL文を確認できます。--> 053 * <og:query command="{@command}" debug="{@debug}" maxRowCount="{@maxRowCount}"> 054 * select CLM,NAME_JA,LABEL_NAME,URL,KBSAKU, 055 * SYSTEM_ID,LANG,FGJ,(CASE WHEN URL IS NULL THEN 0 ELSE 1 END) AS ONMARK 056 * from GF41 057 * <!-- 検索条件でWhereTagを使用すれば{@xxxx}がNULLの場合、その条件は無視されます。 --> 058 * <og:where> 059 * <og:and value = "FGJ in ('0','1')" /> 060 * <og:and value = "SYSTEM_ID = '{@SYSTEM_ID}'" /> 061 * <og:and value = "LANG = '{@LANG}'" /> 062 * <og:and value = "CLM like '{@CLM}%'" /> 063 * <og:and value = "NAME_JA like '{@NAME_JA}%'" /> 064 * <og:and value = "LABEL_NAME like '{@LABEL_NAME}%'" /> 065 * <og:and value = "KBSAKU = '{@KBSAKU}'" /> 066 * </og:where> 067 * <!-- ORDER BY句でAppearTagを使用すれば{@ORDER_BY}がNULLの場合、ORDER BY句は無視されます。 --> 068 * <!-- また、{@ORDER_BY}がNULLの場合に、defaultVal属性を指定すれば、その値でORDER BY表示されます。 --> 069 * <og:appear startKey = "order by" value = "{@ORDER_BY}" 070 * defaultVal = "SYSTEM_ID,CLM,LANG" /> 071 * </og:query> 072 * 073 * @og.group 画面部品 074 * 075 * @version 4.0 076 * @author Kazuhiko Hasegawa 077 * @since JDK5.0, 078 */ 079public class AppearTag extends CommonTagSupport { 080 /** このプログラムのVERSION文字列を設定します。 {@value} */ 081 private static final String VERSION = "6.4.8.1 (2016/07/02)" ; 082 private static final long serialVersionUID = 648120160702L ; 083 084 private String startKey = ""; 085 private String value ; 086 private String defaultVal ; 087 private boolean quotCheck = HybsSystem.sysBool( "USE_SQL_INJECTION_CHECK" ); // 5.7.8.1 (2014/07/18) 088 private boolean xssCheck = HybsSystem.sysBool( "USE_XSS_CHECK" ); // 5.7.8.1 (2014/07/18) 089 090 /** 091 * デフォルトコンストラクター 092 * 093 * @og.rev 6.4.2.0 (2016/01/29) PMD refactoring. Each class should declare at least one constructor. 094 */ 095 public AppearTag() { super(); } // これも、自動的に呼ばれるが、空のメソッドを作成すると警告されるので、明示的にしておきます。 096 097 /** 098 * Taglibの開始タグが見つかったときに処理する doStartTag() を オーバーライドします。 099 * 100 * @og.rev 6.4.8.1 (2016/07/02) xssCheckを、doStartTag に移動 101 * 102 * @return 後続処理の指示( EVAL_BODY_BUFFERED ) 103 */ 104 @Override 105 public int doStartTag() { 106 useXssCheck( xssCheck ); // 6.4.8.1 (2016/07/02) 107 return SKIP_BODY ; // Body を評価しない 108 } 109 110 /** 111 * Taglibの終了タグが見つかったときに処理する doEndTag() を オーバーライドします。 112 * 113 * @og.rev 3.1.1.2 (2003/04/04) Tomcat4.1 対応。release2() を doEndTag()で呼ぶ。 114 * @og.rev 5.7.8.1 (2014/07/18) quotCheck,xssCheck 追加 115 * @og.rev 6.4.8.1 (2016/07/02) xssCheckを、doStartTag に移動 116 * 117 * @return 後続処理の指示(EVAL_PAGE) 118 */ 119 @Override 120 public int doEndTag() { 121 debugPrint(); // 4.0.0 (2005/02/28) 122 123 // 5.7.8.1 (2014/07/18) quotCheck,xssCheck 追加 124 useQuotCheck( quotCheck ); 125 126 String output = getRequestParameter( value ); 127 if( isNull() ) { 128 output = defaultVal; 129 } 130 131 if( output != null ) { 132 jspPrint( startKey + " " + output ); 133 } 134 135 return EVAL_PAGE ; 136 } 137 138 /** 139 * タグリブオブジェクトをリリースします。 140 * 141 * キャッシュされて再利用されるので、フィールドの初期設定を行います。 142 * 143 * @og.rev 2.0.0.4 (2002/09/27) カスタムタグの release() メソッドを、追加 144 * @og.rev 3.1.1.2 (2003/04/04) Tomcat4.1 対応。release2() を doEndTag()で呼ぶ。 145 * @og.rev 5.7.8.1 (2014/07/18) quotCheck , xssCheck 追加 146 * 147 */ 148 @Override 149 protected void release2() { 150 super.release2(); 151 startKey = ""; 152 value = null; 153 defaultVal = null; 154 quotCheck = HybsSystem.sysBool( "USE_SQL_INJECTION_CHECK" ); // 5.7.8.1 (2014/07/18) 155 xssCheck = HybsSystem.sysBool( "USE_XSS_CHECK" ); // 5.7.8.1 (2014/07/18) 156 } 157 158 /** 159 * 【TAG】開始文字列を設定します(初期値:"")。 160 * 161 * @og.tag 162 * このキーは、バリューと接続される場合に空白文字を一つ挿入します。 163 * 164 * @param val 開始文字列 (例:startKey="order by") 165 */ 166 public void setStartKey( final String val ) { 167 startKey = nval( getRequestParameter( val ),startKey ); 168 } 169 170 /** 171 * 【TAG】値をセットします(指定された値が 設定されている場合のみ使用されます)。 172 * 173 * @og.tag 174 * 指定された値が 設定されている場合のみ、開始文字列(startKey)と組み合わせれて、使用されます。 175 * これは、一般にvalue値が変動する場合に、defaultVal 等に重複する値を 176 * 設定したくない場合に使用します。{@XXXX}文字が使用できます。 177 * 178 * @param val 値 179 */ 180 public void setValue( final String val ) { 181 value = val; 182 } 183 184 /** 185 * 【TAG】value属性に値がセットされていないとき使用する、初期値を指定します。 186 * 187 * @og.tag 188 * value属性に値がセットされていないときに、この初期値を使用します。 189 * 190 * 8.4.3.0 (2023/03/31) defaultVal の設定値の取り扱い(変更なし) 191 * {@XXXX} は、リクエスト変数 ⇒ valueタグセット値 を確認 192 * 値がなければ、null となる。… なにも現れない。 193 * 通常の固定値は、そのまま使用されるが、""(空文字列)の場合は、 194 * null となる。… なにも現れない。 195 * defaultVal属性を使用しない場合は、 196 * null のままで、なにも現れない。 197 * 198 * @param val 初期値 199 */ 200 public void setDefaultVal( final String val ) { 201 defaultVal = nval( getRequestParameter( val ),defaultVal ); 202 } 203 204 /** 205 * 【TAG】リクエスト情報の シングルクォート(') 存在チェックを実施するかどうか[true/false]を設定します 206 * (初期値:USE_SQL_INJECTION_CHECK[={@og.value SystemData#USE_SQL_INJECTION_CHECK}])。 207 * 208 * @og.tag 209 * SQLインジェクション対策の一つとして、暫定的ではありますが、SQLのパラメータに 210 * 渡す文字列にシングルクォート(') を許さない設定にすれば、ある程度は防止できます。 211 * 数字タイプの引数には、 or 5=5 などのシングルクォートを使用しないコードを埋めても、 212 * 数字チェックで検出可能です。文字タイプの場合は、必ず (')をはずして、 213 * ' or 'A' like 'A のような形式になる為、(')チェックだけでも有効です。 214 * (') が含まれていたエラーにする(true)/かノーチェックか(false)を指定します。 215 * (初期値:システム定数のUSE_SQL_INJECTION_CHECK[={@og.value SystemData#USE_SQL_INJECTION_CHECK}])。 216 * 217 * @og.rev 4.0.0.0 (2005/08/31) 新規追加 218 * 219 * @param flag クォートチェック [true:する/それ以外:しない] 220 * @see org.opengion.hayabusa.common.SystemData#USE_SQL_INJECTION_CHECK 221 */ 222 public void setQuotCheck( final String flag ) { 223 quotCheck = nval( getRequestParameter( flag ),quotCheck ); 224 } 225 226 /** 227 * 【TAG】リクエスト情報の HTMLTag開始/終了文字(><) 存在チェックを実施するかどうか[true/false]を設定します 228 * (初期値:USE_XSS_CHECK[={@og.value SystemData#USE_XSS_CHECK}])。 229 * 230 * @og.tag 231 * クロスサイトスクリプティング(XSS)対策の一環としてless/greater than signについてのチェックを行います。 232 * (><) が含まれていたエラーにする(true)/かノーチェックか(false)を指定します。 233 * (初期値:システム定数のUSE_XSS_CHECK[={@og.value SystemData#USE_XSS_CHECK}])。 234 * 235 * @og.rev 5.0.0.2 (2009/09/15) 新規追加 236 * 237 * @param flag XSSチェック [true:する/false:しない] 238 * @see org.opengion.hayabusa.common.SystemData#USE_XSS_CHECK 239 */ 240 public void setXssCheck( final String flag ) { 241 xssCheck = nval( getRequestParameter( flag ),xssCheck ); 242 } 243 244 /** 245 * このオブジェクトの文字列表現を返します。 246 * 基本的にデバッグ目的に使用します。 247 * 248 * @return このクラスの文字列表現 249 * @og.rtnNotNull 250 */ 251 @Override 252 public String toString() { 253 return ToString.title( this.getClass().getName() ) 254 .println( "VERSION" ,VERSION ) 255 .println( "startKey" ,startKey ) 256 .println( "value" ,value ) 257 .println( "defaultVal" ,defaultVal ) 258 .println( "Other..." ,getAttributes().getAttribute() ) 259 .fixForm().toString() ; 260 } 261}