首先,要知道報表為啥會出現 sql 注入攻擊。所有的報表工具都會提供引數功能,主要用於使用者輸入條件後的資料篩選,固定條件不夠,還要求更靈活,因此通用查詢又出現,允許動態拼 sql,隨之而來的就是 sql 注入的風險了。
那麼如何避免?簡單來講,安全第一,只要不支援拼 sql 做靈活條件就行了,但這樣犧牲了產品能力,開源產品就是這樣,想做也只能自己硬編碼拼 sql 來做靈活查詢。
另外,有些報表工具只提供拼 sql 實現靈活條件的方案,但沒考慮規避 sql 注入風險,是很危險的。
潤幹報表在這方面考慮的就很全面(目前不清楚是不是有其他廠家能做到),提供拼 sql 實現靈活條件的同時,還提供了敏感詞監測功能,當引數**現這些敏感詞的時候,程式就會主動丟擲錯誤提示,報表中斷執行、抵擋住可疑攻擊,並且都做了封裝,操作起來很容易,只需要在配置檔案配置好要規避的敏感詞(或特殊關鍵字)就可以了。
xml 檔案配置項如下:
禁用引數值通過 "disallowedparamwordlist" 屬性,多值用逗號隔開列出。更詳細的說明可參考報表的 sql 植入風險及規避方法。
總的來說,絕大報表工具都可以做到抵擋 sql 注入,但簡便性或產品完善度一對比就很清楚。另外,不能因為方法簡便、產品完善就貴,還要考慮產品價效比,潤幹報表兼具開源和商用的優勢,有商用報表工具的所有功能(甚至更完善),且**非常便宜,不論從功能還是技術支援等方面,其擁有成本比開源產品還低。
報表工具和 BI 工具哪個更好更強大?
報表工具不僅能做資料展示和資料查詢,還具備資料填報功能。常見的此類報表工具有 raqsoft fine smart。bi 工具主要側重於資料分析,例如可以進行資料鑽取 聯動 切片 旋轉等多維資料處理分析。常見的此類 bi 工具有 tableau,當然國內也有一些 bi 工具例如 finebi sma...
SAP BO 報表工具
隨著大資料時代的來臨,bi分析工具也熱火朝天的發展起來。由於一直在做sap的bi產品,所以主要圍繞著sap bo提供的報表工具做乙個簡單的選型介紹。目前sap bo提供了下列元件供我們選擇 crystal report 固定格式報表,財務三大表的優秀載體,但是不支援即席查詢。web intellig...
商務智慧型報表工具
商務智慧型 bi 解決方案 artm report 是乙個b s 方式的基於 olap 的多維資料集展現工具。能夠提供給使用者乙個靈活的報表定義和資料分析平台,為使用者提供豐富的資料展現形式和強大的資料分析功能。artm report 能夠讓使用者在客戶端輕鬆地訪問 分析 sql server an...