1。簡(jiǎn)介
在實(shí)踐中，我們看到以某種格式統(tǒng)計(jì)和導(dǎo)出數(shù)據(jù)的請(qǐng)求是很常見(jiàn)的。例如，我們收到導(dǎo)出客戶統(tǒng)計(jì)報(bào)告、銷售發(fā)票、采購(gòu)發(fā)票等的請(qǐng)求，這需要人們（尤其是程序員）創(chuàng)建軟件，您可以根據(jù)每個(gè)具體情況和要求靈活創(chuàng)建導(dǎo)出數(shù)據(jù)的模板。你可能立刻想到的解決方案是使用Word、Excel……，但是這種解決方案不適合大量不斷變化、短時(shí)間內(nèi)發(fā)展的數(shù)據(jù)，同時(shí)還需要支付軟件費(fèi)用和數(shù)據(jù)處理時(shí)間不是最佳的。
目前有一個(gè)相當(dāng)流行的解決方案——很多程序員都喜歡使用的JasperReports庫(kù)。
特別是，這個(gè)庫(kù)是開(kāi)源的，并且有免費(fèi)版本。您可以訪問(wèn)其源代碼：https://github.com/TIBCOSoftware/jasperreports

2。使用說(shuō)明
關(guān)于如何使用這個(gè)庫(kù)網(wǎng)上有很多說(shuō)明，這里就不詳細(xì)寫(xiě)了
如果您使用 Eclipse，JasperReports 有一個(gè)額外的插件可以幫助您創(chuàng)建報(bào)告模板。
在這篇文章中，我將指導(dǎo)您在IntelliJ IDEA上使用它，庫(kù)管理器是maven。
首先，您需要一個(gè)模板來(lái)填寫(xiě)數(shù)據(jù)（如訂單、發(fā)票等）。為此，請(qǐng)下載并安裝 Jaspersoft Studio 軟件（最新的社區(qū)版本鏈接當(dāng)前為 https://community.jaspersoft.com/files/file/19-jaspersoft?-studio-community-edition /?do=getNewComment）。
安裝并打開(kāi)后，軟件會(huì)有如下界面：

要?jiǎng)?chuàng)建新模板，請(qǐng)轉(zhuǎn)到文件 ->新->賈斯珀報(bào)告。在“全部”部分中，選擇“空白 A4”（或您喜歡的其他模板：>）。

單擊“下一步”，指定文件的保存位置。點(diǎn)擊下一步->下一步->結(jié)束。出現(xiàn)的新界面是模板界面，您可以根據(jù)自己的模板自由設(shè)計(jì)。

右側(cè)是庫(kù)支持的對(duì)象。

假設(shè)我必須創(chuàng)建一個(gè)帶有標(biāo)題和商品名稱的簡(jiǎn)單購(gòu)買發(fā)票表格。我將“靜態(tài)文本”對(duì)象拖放到模板中，并輸入名稱“采購(gòu)發(fā)票”（您可以在屏幕右上角自行調(diào)整格式）。
接下來(lái)，我再拖動(dòng) 2 個(gè)類似的對(duì)象，但將項(xiàng)目類別設(shè)置在“書(shū)籍”和“鋼筆”下方。
接下來(lái)我必須添加這 2 件商品的價(jià)格。這個(gè)值是動(dòng)態(tài)的，所以我必須在這里包含一個(gè)變量（這也是這個(gè)庫(kù)的一個(gè)非常有趣和靈活的功能）。在大綱部分、參數(shù)部分中，右鍵單擊并選擇“創(chuàng)建參數(shù)”。然后我在右角窗口修改了這個(gè)變量的值，變量名為book，數(shù)據(jù)類型為實(shí)數(shù)。

然后我將其拖放到“Book”標(biāo)簽旁邊。與變量“筆”和總量相同。這里你可以分配的總金額等于變量“book”和“pen”的總和。
完成模板后，它會(huì)是這樣的

您切換到源選項(xiàng)卡，這是系統(tǒng)將處理的數(shù)據(jù)?；旧?，Jasper Report 將以類似于 XML 的文件格式接收輸入數(shù)據(jù)，但標(biāo)簽名稱將由庫(kù)預(yù)先定義。例如，整個(gè)文件的超類的開(kāi)始和結(jié)束標(biāo)記必須是“jasperReport”標(biāo)記。以下是一些必須注意的模板符號(hào)：

• “$P{}”：動(dòng)態(tài)添加到報(bào)表中的數(shù)據(jù)，可以是鍵值對(duì)，可以是數(shù)據(jù)源。
• “$F{}”：從數(shù)據(jù)源添加到報(bào)告的復(fù)雜數(shù)據(jù)字段。
• “$V{}”：根據(jù)現(xiàn)有表達(dá)式自動(dòng)生成數(shù)據(jù)或手動(dòng)添加數(shù)據(jù)。 ... 您可以參考更多信息（https://www.tutorialspoint.com/jasper_reports/jasper_report_expression.htm）

完成后，您可以開(kāi)始將此文件復(fù)制到您的項(xiàng)目中以填充數(shù)據(jù)并進(jìn)行處理。
然后繼續(xù)導(dǎo)入以下庫(kù)：

    <dependency>
      <groupId>net.sf.jasperreports</groupId>
      <artifactId>jasperreports</artifactId>
      <version>6.21.0</version>
    </dependency>

    <dependency>
      <groupId>net.sf.jasperreports</groupId>
      <artifactId>jasperreports-fonts</artifactId>
      <version>6.21.0</version>
    </dependency>

繼續(xù)編寫(xiě)代碼導(dǎo)入文件并填充數(shù)據(jù)。

final String outputFilename = "report.pdf";
Files.deleteIfExists(new File(outputFilename).toPath());
InputStream inputStream = Main.class.getResourceAsStream("/report.jrxml");
Map<String, Object> parameters = new HashMap<>();
parameters.put("book", 55000);
parameters.put("pen", 11111.1111);
JasperReport jasperReport = JasperCompileManager.compileReport(inputStream);
JasperPrint jasperPrint = JasperFillManager.fillReport(jasperReport, null, new JREmptyDataSource());
JasperExportManager.exportReportToPdfFile(jasperPrint, outputFilename);

這里，因?yàn)槲覀冎苯犹畛?，所以可以使用Map類。如果你想從數(shù)據(jù)源（Database，...）填充數(shù)據(jù)，可以參考（https://www.baeldung.com/spring-jasper）。
結(jié)果如下

3。安全編程
因?yàn)樵阡秩具@個(gè)模板的過(guò)程中，庫(kù)也會(huì)執(zhí)行其中的函數(shù)，所以如果用戶可以自定義模板標(biāo)簽，攻擊者就會(huì)添加可以執(zhí)行命令的惡意標(biāo)簽。此錯(cuò)誤與 SSTI 非常相似。
假設(shè)允許用戶直接編輯模板。源碼如下：

final String outputFilename = "out.pdf";
Files.deleteIfExists(new File(outputFilename).toPath());
String input = "";
String template = "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<jasperReport xmlns=\"http://jasperreports.sourceforge.net/jasperreports\" xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\" xsi:schemaLocation=\"http://jasperreports.sourceforge.net/jasperreports http://jasperreports.sourceforge.net/xsd/jasperreport.xsd\" name=\"z\" pageWidth=\"500\" pageHeight=\"1200\" columnWidth=\"270\">\n" + input + "</jasperReport>";
InputStream inputStream = new ByteArrayInputStream(template.getBytes());
JasperReport jasperReport = JasperCompileManager.compileReport(inputStream);
JasperPrint jasperPrint = JasperFillManager.fillReport(jasperReport, null, new JREmptyDataSource());
JasperExportManager.exportReportToPdfFile(jasperPrint, outputFilename);

攻擊者填充惡意函數(shù)來(lái)控制系統(tǒng)：

字符串輸入=“



<p>結(jié)果，命令被執(zhí)行。文件“out.pdf”包含以下內(nèi)容：</p>

<p><img src="/static/imghw/default1.png" data-src="https://img.php.cn/upload/article/000/000/000/173597147572303.jpg" class="lazy" alt="Gi?i thi?u c?n b?n v? th? vi?n JasperReports"></p>

<p>所以程序員也必須小心，不要讓用戶直接在模板中輸入內(nèi)容。<br>
另外，該庫(kù)在舊版本中也存在漏洞（<em>CVE-2018-18809、CVE-2022-42889</em>、...），編程時(shí)應(yīng)注意使用最新版本并更新。定期。</p>


          

            
        

以上是JasperReports庫(kù)的基本介紹的詳細(xì)內(nèi)容。更多信息請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！