积木报表 JimuReport v1.6.2-GA版本发布—高危SQL漏洞安全加固版本

项目介绍

一款免费的数据可视化报表，含报表和大屏设计，像搭建积木一样在线设计报表！功能涵盖，数据报表、打印设计、图表报表、大屏设计等！

• Web 版报表设计器，类似于excel操作风格，通过拖拽完成报表设计。
• 秉承“简单、易用、专业”的产品理念，极大的降低报表开发难度、缩短开发周期、节省成本、解决各类报表难题。
• 领先的企业级Web报表软件，采用纯Web在线技术，专注于解决企业报表快速制作难题。

当前版本：v1.6.2-GA | 2023-09-12

#升级内容

重点解决SQL漏洞被攻击等安全问题！本次版本进行了非常大重构，重构了权限机制并彻底重写了SQL执行逻辑，解决了SQL漏洞风险；并处理了上个版本已知严重Bug；

::: 重要的事情只说一遍，必须升级，不然你会被攻击 :::

#新版规则变化

• 1、多租户的配置方式变更为：saasMode
• 2、新增低代码开发模式 lowCodeMode：prod，完全禁止在线报表设计能力，彻底避免被攻击
• 3、默认报表预览地址必须带token，只能通过报表分享连接给他们访问报表

集成依赖

  org.jeecgframework.jimureport
  jimureport-spring-boot-starter
  1.6.2-GA

#升级日志

#升级权限内容：通过以下几个维度保障报表安全

1、增加低代码开发模式配置 jeecg.jmreport.firewall.lowCodeMode： prod
  发布模式下会关闭所有报表设计相关接口，普通用户只能访问报表不能做任何报表修改，彻底解决被攻击风险
  为了便于线上报表临时维护，拥有角色 "admin"、"lowdeveloper" 的用户，可以拥有设计权限

2、敏感接口，增加角色权限控制
  容易被攻击的敏感接口默认加了角色权限控制，拥有角色 "admin","lowdeveloper","dbadeveloper" 的用户，可以访问这些接口
  敏感接口如下：
  a、数据预览接口
  b、数据源连接测试是否准确接口

3、增加数据隔离配置 jmreport.saasMode:created
  线上发布请按照创建人或者租户实现数据隔离，保证他人数据安全
  created:按照创建人隔离、tenant:按照租户隔离

4、增加数据源安全配置 jeecg.jmreport.firewall.dataSourceSafe: true
  开启数据源安全后，不允许使用平台数据源、SQL解析加签并且不允许查询数据库

5、重写了sql参数拼接的写法，全部换成占位符方式，防止被攻入的可能
6、进一步加强了sql注入检查算法，通过深度解析SQL，检查是否存在攻击函数等

详细配置参数如下：

jeecg :
  jmreport:
    #多租户模式，默认值为空(created:按照创建人隔离、tenant:按照租户隔离) (v1.6.2+ 新增)
    saasMode: created
    # 平台上线安全配置(v1.6.2+ 新增)
    firewall:
      # 数据源安全 (开启后，不允许使用平台数据源、SQL解析加签并不允许查询数据库)
      dataSourceSafe: true
      # 低代码开发模式（dev:开发模式，prod:发布模式—关闭在线报表设计功能，分配角色admin、lowdeveloper可放开限制）
      lowCodeMode: prod

特殊场景

如果某个人可以在测试环境下设计报表，但是不能在发布环境下设计报表，只分配角色dbadeveloper即可，当然测试环境下需要把lowCodeMode改成dev。

#升级修复ISSUES

• 当单元格设置格式为数值是0值不显示#1936
• 打印出现空白页#1924
• 使用统计函数=DBSUM，导致预览页面展示空白#1806
• 单元格为数值类型,若为值0或者为空,控制台报错#1940
• 在设计报表使用数据图表设置为SQL数据集无法运行更新并保存#1629
• 横向分组使用右侧输入值无法预览#1864
• 在W列之后添加compute计算函数导致整个报表都无法显示#1866
• 自定义函数参数中有单元格取值和自定义参数时，单元格参数获取为空#1895
• 导入报表sql，界面没有显示，控制台提示 json解析错误#1482
• 参数的宽度怎么调整#1631
• 报表钻取问题,跳转参数设置问题,条件不生效问题#1604
• SQL解析空表时报500#1658
• api数据集，重新解析时最后一列 参数配置 的数据会被清除掉#1485
• 关于数据集格式化后导出保留两位小数点，不足补零的问题#1834
• springboot 2.3.5-RELAESE 预览报表界面接口 jmreport/getQueryInfo 返回为空导致一直加载#1660
• excel交叉报表导出报错#1696
• Excel导出当数值个位数时(0-9)会为文本格式#1575
• 多数据集与分栏功能共同使用时报NTP#1587
• Excel导出后数字为0的表格显示类型不正确#1452
• 报表数据超过1000多条时，导出失败#1749
• 关于报表页面展示与导出excel样式不一致问题的补充#1646
• 合并单元格并设置单元格格式为条形码或二维码时，在某些样式下无法导出pdf#1649
• 关于数据解析的问题#1521
• 日期时间类型数据，导出为pdf，格式不一致#1942
• 自带的分页查询接口返回pageNo不对#1578
• api解析报表参数传时间默认值问题#1600
• API自定义查询条件，API被调用多次#1325
• 报表钻取后 返回上一页发现 日期查询条件的日期变成上一天了#1886
• 升级版本后手写分页失效#1453
• 页码显示有误#1893
• 固定表头打印#1941
• 版本1.6.0图表显示异常，数据已经提取，但部分内容未显示完全，呈现空白#1921
• 循环块中插入二维码打印异常分页#1655
• 1.5.8升级到1.6.1后，预览显示不全，打印预览正常#1931
• 表单与预览不一致#1944
• 模板设置无边框，导出Excel还是有边框#1512
• 二维码生成的容错级别#1957
• jeecgboot3.5.3 存在未授权sql注入（布尔盲注绕过）#5311

#代码下载

• https://github.com/jeecgboot/JimuReport
• https://gitee.com/jeecg/JimuReport

#技术文档

• 体验官网： http://jimureport.com
• 快速集成文档 ：https://help.jeecg.com/jimureport/quick.html
• 技术文档： https://help.jeecg.com/jimureport

为什么选择 JimuReport?

永久免费，支持各种复杂报表，并且傻瓜式在线设计，非常的智能，低代码时代，这个是你的首选！

• 采用SpringBoot的脚手架项目，都可以快速集成
• Web 版设计器，类似于excel操作风格，通过拖拽完成报表设计
• 通过SQL、API等方式，将数据源与模板绑定。同时支持表达式，自动计算合计等功能，使计算工作量降低
• 开发效率很高，傻瓜式在线报表设计，一分钟设计一个报表，又简单又强大
• 支持 ECharts，目前支持28种图表，在线拖拽设计，支持SQL和API两种数据源
• 支持分组、交叉，合计、表达式等复杂报表
• 支持打印设计（支持套打、背景打印等）可设置打印边距、方向、页眉页脚等参数 一键快速打印 同时可实现套打，不动产证等精准、无缝打印
• 大屏设计器支持几十种图表样式，可自由拼接、组合，设计炫酷大屏
• 可设计各种类型的单据、大屏，如出入库单、销售单、财务报表、合同、监控大屏、旅游数据大屏等

报表设计效果

• 报表设计器（专业一流 数据可视化,解决各类报表难题）
  
• 报表设计器（完全在线设计，简单易用）

• 打印设计（支持套打、背景打印）

[外链图片转存中…(img-eYDUekiR-1694441494697)]

• 数据报表（支持分组、交叉，合计等复杂报表）

• 图形报表（目前支持28种图表）
• 数据报表斑马线

大屏设计效果

[外链图片转存中…(img-nSyYdRR1-1694441494699)]

[外链图片转存中…(img-OjDe9Cn6-1694441494699)]

[外链图片转存中…(img-PyDJM5tk-1694441494699)]

[外链图片转存中…(img-k1ibKf40-1694441494699)]

[外链图片转存中…(img-r4oGWEYl-1694441494699)]

仪表盘设计器

#功能清单

├─报表设计器
│  ├─数据源
│  │  ├─支持多种数据源，如Oracle,MySQL,SQLServer,PostgreSQL等主流的数据库
│  │  ├─支持SQL编写页面智能化，可以看到数据源下面的表清单和字段清单
│  │  ├─支持参数
│  │  ├─支持单数据源和多数数据源设置
│  │  ├─支持Nosql数据源Redis，MongoDB
│  │  ├─支持存储过程
│  ├─单元格格式
│  │  ├─边框
│  │  ├─字体大小
│  │  ├─字体颜色
│  │  ├─背景色
│  │  ├─字体加粗
│  │  ├─支持水平和垂直的分散对齐
│  │  ├─支持文字自动换行设置
│  │  ├─图片设置为图片背景
│  │  ├─支持无线行和无限列
│  │  ├─支持设计器内冻结窗口
│  │  ├─支持对单元格内容或格式的复制、粘贴和删除等功能
│  │  ├─等等
│  ├─报表元素
│  │  ├─文本类型：直接写文本；支持数值类型的文本设置小数位数
│  │  ├─图片类型：支持上传一张图表；支持图片动态生成
│  │  ├─图表类型
│  │  ├─函数类型
│  │  └─支持求和
│  │  └─平均值
│  │  └─最大值
│  │  └─最小值
│  ├─背景
│  │  ├─背景颜色设置
│  │  ├─背景图片设置
│  │  ├─背景透明度设置
│  │  ├─背景大小设置
│  ├─数据字典
│  ├─报表打印
│  │  ├─自定义打印
│  │  └─医药笺、逮捕令、介绍信等自定义样式设计打印
│  │  ├─简单数据打印
│  │  └─出入库单、销售表打印
│  │  └─带参数打印
│  │  └─分页打印
│  │  ├─套打
│  │  └─不动产证打印
│  │  └─打印
│  ├─数据报表
│  │  ├─分组数据报表
│  │  └─横向数据分组
│  │  └─纵向数据分组
│  │  └─多级循环表头分组
│  │  └─横向分组小计
│  │  └─纵向分组小计
│  │  └─分版
│  │  └─分栏
│  │  └─动态合并格
│  │  └─自定义分页条数
│  │  └─合计
│  │  ├─交叉报表
│  │  ├─明细表
│  │  ├─带条件查询报表
│  │  ├─表达式报表
│  │  ├─带二维码/条形码报表
│  │  ├─多表头复杂报表
│  │  ├─主子报表
│  │  ├─预警报表
│  │  ├─数据钻取报表
│  ├─图形报表
│  │  ├─柱形图
│  │  ├─堆叠柱形图
│  │  ├─折线图
│  │  ├─饼图
│  │  ├─动态轮播图
│  │  ├─折柱图
│  │  ├─散点图
│  │  ├─漏斗图
│  │  ├─雷达图
│  │  ├─象形图
│  │  ├─地图
│  │  ├─仪盘表
│  │  ├─关系图
│  │  ├─图表背景
│  │  ├─图表动态刷新
│  │  ├─图表数据字典
│  ├─参数
│  │  ├─参数配置
│  │  ├─参数管理
│  ├─导入导出
│  │  ├─支持导入Excel
│  │  ├─支持导出Excel、pdf；支持导出excel、pdf带参数
│  ├─打印设置
│  │  ├─打印区域设置
│  │  ├─打印机设置
│  │  ├─预览
│  │  ├─打印页码设置
├─大屏设计器
│  ├─系统功能
│  │  ├─静态数据源和动态数据源设置
│  │  ├─基础功能
│  │  └─支持拖拽设计
│  │  └─支持增、删、改、查大屏
│  │  └─支持复制大屏数据和样式
│  │  └─支持大屏预览、分享
│  │  └─支持系统自动保存数据，同时支持手动恢复数据
│  │  └─支持设置大屏密码
│  │  └─支持对组件图层的删除、组合、上移、下移、置顶、置底等
│  │  ├─背景设置
│  │  └─大屏的宽度和高度设置
│  │  └─大屏简介设置
│  │  └─背景颜色、背景图片设置
│  │  └─封面图设置
│  │  └─缩放比例设置
│  │  └─环境地址设置
│  │  └─水印设置
│  │  ├─地图设置
│  │  └─添加地图
│  │  └─地图数据隔离
│  ├─图表
│  │  ├─柱形图
│  │  ├─折线图
│  │  ├─折柱图
│  │  ├─饼图
│  │  ├─象形图
│  │  ├─雷达图
│  │  ├─散点图
│  │  ├─漏斗图
│  │  ├─文本框
│  │  ├─跑马灯
│  │  ├─超链接
│  │  ├─实时时间
│  │  ├─地图
│  │  ├─全国物流地图
│  │  ├─地理坐标地图
│  │  ├─城市派件地图
│  │  ├─图片
│  │  ├─图片框
│  │  ├─轮播图
│  │  ├─滑动组件
│  │  ├─iframe
│  │  ├─video
│  │  ├─翻牌器
│  │  ├─环形图
│  │  ├─进度条
│  │  ├─仪盘表
│  │  ├─字浮云
│  │  ├─表格
│  │  ├─选项卡
│  │  ├─万能组件
└─其他模块
   └─更多功能开发中。。