001/*
002 * Copyright (c) 2009 The openGion Project.
003 *
004 * Licensed under the Apache License, Version 2.0 (the "License");
005 * you may not use this file except in compliance with the License.
006 * You may obtain a copy of the License at
007 *
008 *     http://www.apache.org/licenses/LICENSE-2.0
009 *
010 * Unless required by applicable law or agreed to in writing, software
011 * distributed under the License is distributed on an "AS IS" BASIS,
012 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND,
013 * either express or implied. See the License for the specific language
014 * governing permissions and limitations under the License.
015 */
016package org.opengion.hayabusa.taglib;
017
018import org.opengion.hayabusa.common.HybsSystem;
019import org.opengion.fukurou.util.ToString;                                              // 6.1.1.0 (2015/01/17)
020
021import static org.opengion.fukurou.util.StringUtil.nval ;
022
023/**
024 * 指定された value 値の{@XXXX} 変数が設定された場合のみ表示するタグです。
025 *
026 * value 値に、{@XXXX} 変数を使用して、リクエスト値が設定された場合のみ
027 * その値を表示します。これは、{@XXXX} 変数と固定値を組み合わせた場合でも
028 * 同様に、値が設定されていない場合は、使用されません。
029 * defaultVal が設定されており、リクエスト値が設定されていない場合、defaultVal 値が
030 * 使用されます。
031 * このタグが使用されるケースの代表は、SQLでの order by 句です。一般のリクエスト時には、
032 * order by 句をリクエストで設定して、ユーザーが検索する時に、切り替えができるように
033 * します。別画面から、リンク等で画面を呼び出す場合は、通常 order by 句の条件まで、
034 * 指定しません。そのような場合に備えて、og:appear タグでdefaultVal 値を設定しておき、
035 * 未指定時の検索順を予め指定しておきます。
036 *
037 * @og.formSample
038 * ●形式:<og:appear startKey="[order by|…]" value="…" defaultVal="[…]" />
039 * ●body:なし
040 *
041 * ●Tag定義
042 *   <og:appear
043 *       startKey           【TAG】開始文字列を設定します(初期値:"")
044 *       value            ○【TAG】値をセットします(指定された値が 設定されている場合のみ使用されます)(必須)
045 *       defaultVal         【TAG】初期値を設定します(value値がNULLの場合に、この初期値が表示)
046 *       quotCheck          【TAG】リクエスト情報の シングルクォート(') 存在チェックを実施するかどうか[true/false]を設定します (初期値:USE_SQL_INJECTION_CHECK[=true])
047 *       xssCheck           【TAG】リクエスト情報の HTMLTag開始/終了文字(><) 存在チェックを実施するかどうか[true/false]を設定します (初期値:USE_XSS_CHECK[=true])
048 *       debug              【TAG】デバッグ情報を出力するかどうか[true/false]を指定します(初期値:false)
049 *   />
050 *
051 * ●使用例
052 * <!-- DB検索 SQL文記述 debug="true" でSQL文を確認できます。-->
053 * <og:query command="{@command}" debug="{@debug}" maxRowCount="{@maxRowCount}">
054 *         select CLM,NAME_JA,LABEL_NAME,URL,KBSAKU,
055 *                 SYSTEM_ID,LANG,FGJ,(CASE WHEN URL IS NULL THEN 0 ELSE 1 END) AS ONMARK
056 *         from GF41
057 *     <!-- 検索条件でWhereTagを使用すれば{@xxxx}がNULLの場合、その条件は無視されます。 -->
058 *     <og:where>
059 *         <og:and value = "FGJ        in  ('0','1')"      />
060 *         <og:and value = "SYSTEM_ID  =  '{@SYSTEM_ID}'"     />
061 *         <og:and value = "LANG       =  '{@LANG}'"          />
062 *         <og:and value = "CLM        like '{@CLM}%'"        />
063 *         <og:and value = "NAME_JA    like '{@NAME_JA}%'"    />
064 *         <og:and value = "LABEL_NAME like '{@LABEL_NAME}%'" />
065 *         <og:and value = "KBSAKU     =    '{@KBSAKU}'"      />
066 *     </og:where>
067 *     <!-- ORDER BY句でAppearTagを使用すれば{@ORDER_BY}がNULLの場合、ORDER BY句は無視されます。 -->
068 *     <!-- また、{@ORDER_BY}がNULLの場合に、defaultVal属性を指定すれば、その値でORDER BY表示されます。 -->
069 *     <og:appear startKey = "order by" value = "{@ORDER_BY}"
070 *                 defaultVal = "SYSTEM_ID,CLM,LANG" />
071 * </og:query>
072 *
073 * @og.group 画面部品
074 *
075 * @version  4.0
076 * @author      Kazuhiko Hasegawa
077 * @since    JDK5.0,
078 */
079public class AppearTag extends CommonTagSupport {
080        /** このプログラムのVERSION文字列を設定します。   {@value} */
081        private static final String VERSION = "6.4.8.1 (2016/07/02)" ;
082        private static final long serialVersionUID = 648120160702L ;
083
084        private String  startKey        = "";
085        private String  value           ;
086        private String  defaultVal      ;
087        private boolean quotCheck       = HybsSystem.sysBool( "USE_SQL_INJECTION_CHECK" );      // 5.7.8.1 (2014/07/18)
088        private boolean xssCheck        = HybsSystem.sysBool( "USE_XSS_CHECK" );                        // 5.7.8.1 (2014/07/18)
089
090        /**
091         * デフォルトコンストラクター
092         *
093         * @og.rev 6.4.2.0 (2016/01/29) PMD refactoring. Each class should declare at least one constructor.
094         */
095        public AppearTag() { super(); }         // これも、自動的に呼ばれるが、空のメソッドを作成すると警告されるので、明示的にしておきます。
096
097        /**
098         * Taglibの開始タグが見つかったときに処理する doStartTag() を オーバーライドします。
099         *
100         * @og.rev 6.4.8.1 (2016/07/02) xssCheckを、doStartTag に移動
101         *
102         * @return      後続処理の指示( EVAL_BODY_BUFFERED )
103         */
104        @Override
105        public int doStartTag() {
106                useXssCheck( xssCheck );                // 6.4.8.1 (2016/07/02)
107                return  SKIP_BODY ;                             // Body を評価しない
108        }
109
110        /**
111         * Taglibの終了タグが見つかったときに処理する doEndTag() を オーバーライドします。
112         *
113         * @og.rev 3.1.1.2 (2003/04/04) Tomcat4.1 対応。release2() を doEndTag()で呼ぶ。
114         * @og.rev 5.7.8.1 (2014/07/18) quotCheck,xssCheck 追加
115         * @og.rev 6.4.8.1 (2016/07/02) xssCheckを、doStartTag に移動
116         *
117         * @return      後続処理の指示(EVAL_PAGE)
118         */
119        @Override
120        public int doEndTag() {
121                debugPrint();           // 4.0.0 (2005/02/28)
122
123                // 5.7.8.1 (2014/07/18) quotCheck,xssCheck 追加
124                useQuotCheck( quotCheck );
125
126                String output = getRequestParameter( value );
127                if( isNull() ) {
128                        output = defaultVal;
129                }
130
131                if( output != null ) {
132                        jspPrint( startKey + " " + output );
133                }
134
135                return EVAL_PAGE ;
136        }
137
138        /**
139         * タグリブオブジェクトをリリースします。
140         *
141         * キャッシュされて再利用されるので、フィールドの初期設定を行います。
142         *
143         * @og.rev 2.0.0.4 (2002/09/27) カスタムタグの release() メソッドを、追加
144         * @og.rev 3.1.1.2 (2003/04/04) Tomcat4.1 対応。release2() を doEndTag()で呼ぶ。
145         * @og.rev 5.7.8.1 (2014/07/18) quotCheck , xssCheck 追加
146         *
147         */
148        @Override
149        protected void release2() {
150                super.release2();
151                startKey    = "";
152                value       = null;
153                defaultVal  = null;
154                quotCheck       = HybsSystem.sysBool( "USE_SQL_INJECTION_CHECK" );      // 5.7.8.1 (2014/07/18)
155                xssCheck        = HybsSystem.sysBool( "USE_XSS_CHECK" );                        // 5.7.8.1 (2014/07/18)
156        }
157
158        /**
159         * 【TAG】開始文字列を設定します(初期値:"")。
160         *
161         * @og.tag
162         * このキーは、バリューと接続される場合に空白文字を一つ挿入します。
163         *
164         * @param       val 開始文字列 (例:startKey="order by")
165         */
166        public void setStartKey( final String val ) {
167                startKey = nval( getRequestParameter( val ),startKey );
168        }
169
170        /**
171         * 【TAG】値をセットします(指定された値が 設定されている場合のみ使用されます)。
172         *
173         * @og.tag
174         * 指定された値が 設定されている場合のみ、開始文字列(startKey)と組み合わせれて、使用されます。
175         * これは、一般にvalue値が変動する場合に、defaultVal 等に重複する値を
176         * 設定したくない場合に使用します。{@XXXX}文字が使用できます。
177         *
178         * @param       val 値
179         */
180        public void setValue( final String val ) {
181                value = val;
182        }
183
184        /**
185         * 【TAG】value属性に値がセットされていないとき使用する、初期値を指定します。
186         *
187         * @og.tag
188         * value属性に値がセットされていないときに、この初期値を使用します。
189         *
190         * 8.4.3.0 (2023/03/31) defaultVal の設定値の取り扱い(変更なし)
191         *   {@XXXX} は、リクエスト変数 ⇒ valueタグセット値 を確認
192         *     値がなければ、null となる。… なにも現れない。
193         *   通常の固定値は、そのまま使用されるが、""(空文字列)の場合は、
194         *     null となる。… なにも現れない。
195         *   defaultVal属性を使用しない場合は、
196         *     null のままで、なにも現れない。
197         *
198         * @param       val 初期値
199         */
200        public void setDefaultVal( final String val ) {
201                defaultVal = nval( getRequestParameter( val ),defaultVal );
202        }
203
204        /**
205         * 【TAG】リクエスト情報の シングルクォート(') 存在チェックを実施するかどうか[true/false]を設定します
206         *              (初期値:USE_SQL_INJECTION_CHECK[={@og.value SystemData#USE_SQL_INJECTION_CHECK}])。
207         *
208         * @og.tag
209         * SQLインジェクション対策の一つとして、暫定的ではありますが、SQLのパラメータに
210         * 渡す文字列にシングルクォート(') を許さない設定にすれば、ある程度は防止できます。
211         * 数字タイプの引数には、 or 5=5 などのシングルクォートを使用しないコードを埋めても、
212         * 数字チェックで検出可能です。文字タイプの場合は、必ず (')をはずして、
213         * ' or 'A' like 'A のような形式になる為、(')チェックだけでも有効です。
214         * (') が含まれていたエラーにする(true)/かノーチェックか(false)を指定します。
215         * (初期値:システム定数のUSE_SQL_INJECTION_CHECK[={@og.value SystemData#USE_SQL_INJECTION_CHECK}])。
216         *
217         * @og.rev 4.0.0.0 (2005/08/31) 新規追加
218         *
219         * @param   flag クォートチェック [true:する/それ以外:しない]
220         * @see         org.opengion.hayabusa.common.SystemData#USE_SQL_INJECTION_CHECK
221         */
222        public void setQuotCheck( final String flag ) {
223                quotCheck = nval( getRequestParameter( flag ),quotCheck );
224        }
225
226        /**
227         * 【TAG】リクエスト情報の HTMLTag開始/終了文字(><) 存在チェックを実施するかどうか[true/false]を設定します
228         *              (初期値:USE_XSS_CHECK[={@og.value SystemData#USE_XSS_CHECK}])。
229         *
230         * @og.tag
231         * クロスサイトスクリプティング(XSS)対策の一環としてless/greater than signについてのチェックを行います。
232         * (><) が含まれていたエラーにする(true)/かノーチェックか(false)を指定します。
233         * (初期値:システム定数のUSE_XSS_CHECK[={@og.value SystemData#USE_XSS_CHECK}])。
234         *
235         * @og.rev 5.0.0.2 (2009/09/15) 新規追加
236         *
237         * @param       flag    XSSチェック [true:する/false:しない]
238         * @see         org.opengion.hayabusa.common.SystemData#USE_XSS_CHECK
239         */
240        public void setXssCheck( final String flag ) {
241                xssCheck = nval( getRequestParameter( flag ),xssCheck );
242        }
243
244        /**
245         * このオブジェクトの文字列表現を返します。
246         * 基本的にデバッグ目的に使用します。
247         *
248         * @return このクラスの文字列表現
249         * @og.rtnNotNull
250         */
251        @Override
252        public String toString() {
253                return ToString.title( this.getClass().getName() )
254                                .println( "VERSION"             ,VERSION        )
255                                .println( "startKey"    ,startKey       )
256                                .println( "value"               ,value          )
257                                .println( "defaultVal"  ,defaultVal     )
258                                .println( "Other..."    ,getAttributes().getAttribute() )
259                                .fixForm().toString() ;
260        }
261}