JimuReport v1.6.2-GA3版本发布-修复高危SQL漏洞

项目介绍

一款免费的数据可视化报表，含报表和大屏设计，像搭建积木一样在线设计报表！功能涵盖，数据报表、打印设计、图表报表、大屏设计等！

当前版本：v1.6.2-GA3 | 2023-09-12

#升级内容

重点解决SQL漏洞被攻击等安全问题！本次版本进行了非常大重构，重构了权限机制并彻底重写了SQL执行逻辑，解决了SQL漏洞风险；并处理了上个版本已知严重Bug；

#新版规则变化

1、多租户的配置方式变更为：saasMode 2、新增低代码开发模式 lowCodeMode：prod，完全禁止在线报表设计能力，彻底避免被攻击 3、默认报表预览地址必须带token，只能通过报表分享连接给他们访问报表

集成依赖

<dependency>
  <groupId>org.jeecgframework.jimureport</groupId>
  <artifactId>jimureport-spring-boot-starter</artifactId>
  <version>1.6.2-GA3</version>
</dependency>

最新依赖还未上传 maven 官仓，下载失败请先配置JEECG的Maven私服

#升级日志

#升级权限内容：通过以下几个维度保障报表安全

1、增加低代码开发模式配置 jeecg.jmreport.firewall.lowCodeMode： prod
  发布模式下会关闭所有报表设计相关接口，普通用户只能访问报表不能做任何报表修改，彻底解决被攻击风险
  为了便于线上报表临时维护，拥有角色 "admin"、"lowdeveloper" 的用户，可以拥有设计权限

2、敏感接口，增加角色权限控制
  容易被攻击的敏感接口默认加了角色权限控制，拥有角色 "admin","lowdeveloper","dbadeveloper" 的用户，可以访问这些接口
  敏感接口如下：
  a、数据预览接口
  b、数据源连接测试是否准确接口

3、增加数据隔离配置 jmreport.saasMode:created
  线上发布请按照创建人或者租户实现数据隔离，保证他人数据安全
  created:按照创建人隔离、tenant:按照租户隔离

4、增加数据源安全配置 jeecg.jmreport.firewall.dataSourceSafe: true
  开启数据源安全后，不允许使用平台数据源、SQL解析加签并且不允许查询数据库

5、重写了sql参数拼接的写法，全部换成占位符方式，防止被攻入的可能
6、进一步加强了sql注入检查算法，通过深度解析SQL，检查是否存在攻击函数等

详细配置参数如下：

jeecg :
  jmreport:
    #多租户模式，默认值为空(created:按照创建人隔离、tenant:按照租户隔离) (v1.6.2+ 新增)
    saasMode: created
    # 平台上线安全配置(v1.6.2+ 新增)
    firewall:
      # 数据源安全 (开启后，不允许使用平台数据源、SQL解析加签并不允许查询数据库)
      dataSourceSafe: true
      # 低代码开发模式（dev:开发模式，prod:发布模式—关闭在线报表设计功能，分配角色admin、lowdeveloper可放开限制）
      lowCodeMode: prod

特殊场景

如果某个人可以在测试环境下设计报表，但是不能在发布环境下设计报表，只分配角色dbadeveloper即可，当然测试环境下需要把lowCodeMode改成dev。

#升级修复ISSUES

• 当单元格设置格式为数值是0值不显示#1936
• 打印出现空白页#1924
• 使用统计函数=DBSUM，导致预览页面展示空白#1806
• 单元格为数值类型,若为值0或者为空,控制台报错#1940
• 在设计报表使用数据图表设置为SQL数据集无法运行更新并保存#1629
• 横向分组使用右侧输入值无法预览#1864
• 在W列之后添加compute计算函数导致整个报表都无法显示#1866
• 自定义函数参数中有单元格取值和自定义参数时，单元格参数获取为空#1895
• 导入报表sql，界面没有显示，控制台提示 json解析错误#1482
• 参数的宽度怎么调整#1631
• 报表钻取问题,跳转参数设置问题,条件不生效问题#1604
• SQL解析空表时报500#1658
• api数据集，重新解析时最后一列 参数配置 的数据会被清除掉#1485
• 关于数据集格式化后导出保留两位小数点，不足补零的问题#1834
• springboot 2.3.5-RELAESE 预览报表界面接口 jmreport/getQueryInfo 返回为空导致一直加载#1660
• excel交叉报表导出报错#1696
• Excel导出当数值个位数时(0-9)会为文本格式#1575
• 多数据集与分栏功能共同使用时报NTP#1587
• Excel导出后数字为0的表格显示类型不正确#1452
• 报表数据超过1000多条时，导出失败#1749
• 关于报表页面展示与导出excel样式不一致问题的补充#1646
• 合并单元格并设置单元格格式为条形码或二维码时，在某些样式下无法导出pdf#1649
• 关于数据解析的问题#1521
• 日期时间类型数据，导出为pdf，格式不一致#1942
• 自带的分页查询接口返回pageNo不对#1578
• api解析报表参数传时间默认值问题#1600
• API自定义查询条件，API被调用多次#1325
• 报表钻取后 返回上一页发现 日期查询条件的日期变成上一天了#1886
• 升级版本后手写分页失效#1453
• 页码显示有误#1893
• 固定表头打印#1941
• 版本1.6.0图表显示异常，数据已经提取，但部分内容未显示完全，呈现空白#1921
• 循环块中插入二维码打印异常分页#1655
• 1.5.8升级到1.6.1后，预览显示不全，打印预览正常#1931
• 表单与预览不一致#1944
• 模板设置无边框，导出Excel还是有边框#1512
• 二维码生成的容错级别#1957
• jeecgboot3.5.3 存在未授权sql注入（布尔盲注绕过）#5311
• 数值为0的单元格打印时变成空值#1972
• 字典code sql包含系统变量时，报表该列数据无法正常翻译为显示值#1984

#技术文档

• 技术文档： https://help.jeecg.com/jimureport