|
|
@@ -1,5 +1,6 @@
|
|
|
package com.ruoyi.common.utils.sql;
|
|
|
|
|
|
+import com.ruoyi.common.exception.BaseException;
|
|
|
import com.ruoyi.common.utils.StringUtils;
|
|
|
|
|
|
/**
|
|
|
@@ -10,9 +11,9 @@ import com.ruoyi.common.utils.StringUtils;
|
|
|
public class SqlUtil
|
|
|
{
|
|
|
/**
|
|
|
- * 仅支持字母、数字、下划线、空格、逗号(支持多个字段排序)
|
|
|
+ * 仅支持字母、数字、下划线、空格、逗号、小数点(支持多个字段排序)
|
|
|
*/
|
|
|
- public static String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,]+";
|
|
|
+ public static String SQL_PATTERN = "[a-zA-Z0-9_\\ \\,\\.]+";
|
|
|
|
|
|
/**
|
|
|
* 检查字符,防止注入绕过
|
|
|
@@ -21,7 +22,7 @@ public class SqlUtil
|
|
|
{
|
|
|
if (StringUtils.isNotEmpty(value) && !isValidOrderBySql(value))
|
|
|
{
|
|
|
- return StringUtils.EMPTY;
|
|
|
+ throw new BaseException("参数不符合规范,不能进行查询");
|
|
|
}
|
|
|
return value;
|
|
|
}
|
RuoYi