001/*
002 * Copyright (c) 2009 The openGion Project.
003 *
004 * Licensed under the Apache License, Version 2.0 (the "License");
005 * you may not use this file except in compliance with the License.
006 * You may obtain a copy of the License at
007 *
008 *     http://www.apache.org/licenses/LICENSE-2.0
009 *
010 * Unless required by applicable law or agreed to in writing, software
011 * distributed under the License is distributed on an "AS IS" BASIS,
012 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND,
013 * either express or implied. See the License for the specific language
014 * governing permissions and limitations under the License.
015 */
016package org.opengion.hayabusa.taglib;
017
018import org.opengion.hayabusa.common.HybsSystem;
019
020import static org.opengion.fukurou.util.StringUtil.nval ;
021
022/**
023 * 指定された value 値の{@XXXX} 変数が設定された場合のみ表示するタグです。
024 *
025 * value 値に、{@XXXX} 変数を使用して、リクエスト値が設定された場合のみ
026 * その値を表示します。これは、{@XXXX} 変数と固定値を組み合わせた場合でも
027 * 同様に、値が設定されていない場合は、使用されません。
028 * defaultVal が設定されており、リクエスト値が設定されていない場合、defaultVal 値が
029 * 使用されます。
030 * このタグが使用されるケースの代表は、SQLでの order by 句です。一般のリクエスト時には、
031 * order by 句をリクエストで設定して、ユーザーが検索する時に、切り替えができるように
032 * します。別画面から、リンク等で画面を呼び出す場合は、通常 order by 句の条件まで、
033 * 指定しません。そのような場合に備えて、og:appear タグでdefaultVal 値を設定しておき、
034 * 未指定時の検索順を予め指定しておきます。
035 *
036 * @og.formSample
037 * ●形式:<og:appear startKey="[order by|…]" value="…" defaultVal="[…]" />
038 * ●body:なし
039 *
040 * ●Tag定義
041 *   <og:appear
042 *       startKey           【TAG】開始文字列を設定します(初期値:"")
043 *       value            ○【TAG】値をセットします(指定された値が 設定されている場合のみ使用されます)(必須)
044 *       defaultVal         【TAG】初期値を設定します(value値がNULLの場合に、この初期値が表示)
045 *       quotCheck          【TAG】リクエスト情報の クォーティション(') 存在チェックを実施するかどうか[true/false]を設定します (初期値:USE_SQL_INJECTION_CHECK[=true])
046 *       xssCheck           【TAG】リクエスト情報の HTMLTag開始/終了文字(><) 存在チェックを実施するかどうか[true/false]を設定します (初期値:USE_XSS_CHECK[=true])
047 *       debug              【TAG】デバッグ情報を出力するかどうか[true/false]を指定します(初期値:false)
048 *   />
049 *
050 * ●使用例
051 * <!-- DB検索 SQL文記述 debug="true" でSQL文を確認できます。-->
052 * <og:query command="{@command}" debug="{@debug}" maxRowCount="{@maxRowCount}">
053 *         select CLM,NAME_JA,LABEL_NAME,URL,KBSAKU,
054 *                 SYSTEM_ID,LANG,FGJ,(CASE WHEN URL IS NULL THEN 0 ELSE 1 END) AS ONMARK
055 *         from GF41
056 *     <!-- 検索条件でWhereTagを使用すれば{@xxxx}がNULLの場合、その条件は無視されます。 -->
057 *     <og:where>
058 *         <og:and value = "FGJ        in  ('0','1')"      />
059 *         <og:and value = "SYSTEM_ID  =  '{@SYSTEM_ID}'"     />
060 *         <og:and value = "LANG       =  '{@LANG}'"          />
061 *         <og:and value = "CLM        like '{@CLM}%'"        />
062 *         <og:and value = "NAME_JA    like '{@NAME_JA}%'"    />
063 *         <og:and value = "LABEL_NAME like '{@LABEL_NAME}%'" />
064 *         <og:and value = "KBSAKU     =    '{@KBSAKU}'"      />
065 *     </og:where>
066 *     <!-- ORDER BY句でAppearTagを使用すれば{@ORDER_BY}がNULLの場合、ORDER BY句は無視されます。 -->
067 *     <!-- また、{@ORDER_BY}がNULLの場合に、defaultVal属性を指定すれば、その値でORDER BY表示されます。 -->
068 *     <og:appear startKey = "order by" value = "{@ORDER_BY}"
069 *                 defaultVal = "SYSTEM_ID,CLM,LANG" />
070 * </og:query>
071 *
072 * @og.group 画面部品
073 *
074 * @version  4.0
075 * @author      Kazuhiko Hasegawa
076 * @since    JDK5.0,
077 */
078public class AppearTag extends CommonTagSupport {
079        //* このプログラムのVERSION文字列を設定します。   {@value} */
080        private static final String VERSION = "5.7.8.1 (2014/07/18)" ;
081
082        private static final long serialVersionUID = 578120140718L ;
083
084        private String  startKey        = "";
085        private String  value           = null;
086        private String  defaultVal      = null;
087        private boolean quotCheck       = HybsSystem.sysBool( "USE_SQL_INJECTION_CHECK" );      // 5.7.8.1 (2014/07/18)
088        private boolean xssCheck        = HybsSystem.sysBool( "USE_XSS_CHECK" );                        // 5.7.8.1 (2014/07/18)
089
090        /**
091         * Taglibの終了タグが見つかったときに処理する doEndTag() を オーバーライドします。
092         *
093         * @og.rev 3.1.1.2 (2003/04/04) Tomcat4.1 対応。release2() を doEndTag()で呼ぶ。
094         * @og.rev 5.7.8.1 (2014/07/18) quotCheck,xssCheck 追加
095         *
096         * @return      後続処理の指示(EVAL_PAGE)
097         */
098        @Override
099        public int doEndTag() {
100                debugPrint();           // 4.0.0 (2005/02/28)
101
102                // 5.7.8.1 (2014/07/18) quotCheck,xssCheck 追加
103                useQuotCheck( quotCheck );
104                useXssCheck( xssCheck );
105
106                String output = getRequestParameter( value );
107                if( isNull() ) {
108                        output = defaultVal;
109                }
110
111                if( output != null ) {
112                        jspPrint( startKey + " " + output );
113                }
114
115                return EVAL_PAGE ;
116        }
117
118        /**
119         * タグリブオブジェクトをリリースします。
120         *
121         * キャッシュされて再利用されるので、フィールドの初期設定を行います。
122         *
123         * @og.rev 2.0.0.4 (2002/09/27) カスタムタグの release() メソッドを、追加
124         * @og.rev 3.1.1.2 (2003/04/04) Tomcat4.1 対応。release2() を doEndTag()で呼ぶ。
125         * @og.rev 5.7.8.1 (2014/07/18) quotCheck , xssCheck 追加
126         *
127         */
128        @Override
129        protected void release2() {
130                super.release2();
131                startKey    = "";
132                value       = null;
133                defaultVal  = null;
134                quotCheck       = HybsSystem.sysBool( "USE_SQL_INJECTION_CHECK" );      // 5.7.8.1 (2014/07/18)
135                xssCheck        = HybsSystem.sysBool( "USE_XSS_CHECK" );                        // 5.7.8.1 (2014/07/18)
136        }
137
138        /**
139         * 【TAG】開始文字列を設定します(初期値:"")。
140         *
141         * @og.tag
142         * このキーは、バリューと接続される場合に空白文字を一つ挿入します。
143         *
144         * @param       val 開始文字列(例:startKey="order by")
145         */
146        public void setStartKey( final String val ) {
147                startKey = nval( getRequestParameter( val ),startKey );
148        }
149
150        /**
151         * 【TAG】値をセットします(指定された値が 設定されている場合のみ使用されます)。
152         *
153         * @og.tag
154         * 指定された値が 設定されている場合のみ、開始文字列(startKey)と組み合わせれて、使用されます。
155         * これは、一般にvalue値が変動する場合に、defaultVal 等に重複する値を
156         * 設定したくない場合に使用します。{@XXXX}文字が使用できます。
157         *
158         * @param       val 値
159         */
160        public void setValue( final String val ) {
161                value = val;
162        }
163
164        /**
165         * 【TAG】初期値を設定します(value値がNULLの場合に、この初期値が表示)。
166         *
167         * @og.tag
168         * value値がNULL(指定されない)の場合に、この初期値が値として使用されます。
169         *
170         * @param       val 初期値
171         */
172        public void setDefaultVal( final String val ) {
173                defaultVal = nval( getRequestParameter( val ),defaultVal );
174        }
175
176        /**
177         * 【TAG】リクエスト情報の クォーティション(') 存在チェックを実施するかどうか[true/false]を設定します
178         *              (初期値:USE_SQL_INJECTION_CHECK[={@og.value org.opengion.hayabusa.common.SystemData#USE_SQL_INJECTION_CHECK}])。
179         *
180         * @og.tag
181         * SQLインジェクション対策の一つとして、暫定的ではありますが、SQLのパラメータに
182         * 渡す文字列にクォーティション(') を許さない設定にすれば、ある程度は防止できます。
183         * 数字タイプの引数には、 or 5=5 などのクォーティションを使用しないコードを埋めても、
184         * 数字チェックで検出可能です。文字タイプの場合は、必ず (')をはずして、
185         * ' or 'A' like 'A のような形式になる為、(')チェックだけでも有効です。
186         * (') が含まれていたエラーにする(true)/かノーチェックか(false)を指定します。
187         * (初期値:システム定数のUSE_SQL_INJECTION_CHECK[={@og.value org.opengion.hayabusa.common.SystemData#USE_SQL_INJECTION_CHECK}])。
188         *
189         * @og.rev 4.0.0.0 (2005/08/31) 新規追加
190         *
191         * @param   flag クォーティションチェック [true:する/それ以外:しない]
192         * @see         org.opengion.hayabusa.common.SystemData#USE_SQL_INJECTION_CHECK
193         */
194        public void setQuotCheck( final String flag ) {
195                quotCheck = nval( getRequestParameter( flag ),quotCheck );
196        }
197
198        /**
199         * 【TAG】リクエスト情報の HTMLTag開始/終了文字(><) 存在チェックを実施するかどうか[true/false]を設定します
200         *              (初期値:USE_XSS_CHECK[={@og.value org.opengion.hayabusa.common.SystemData#USE_XSS_CHECK}])。
201         *
202         * @og.tag
203         * クロスサイトスクリプティング(XSS)対策の一環としてless/greater than signについてのチェックを行います。
204         * (><) が含まれていたエラーにする(true)/かノーチェックか(false)を指定します。
205         * (初期値:システム定数のUSE_XSS_CHECK[={@og.value org.opengion.hayabusa.common.SystemData#USE_XSS_CHECK}])。
206         *
207         * @og.rev 5.0.0.2 (2009/09/15) 新規追加
208         *
209         * @param       flag    XSSチェック [true:する/false:しない]
210         * @see         org.opengion.hayabusa.common.SystemData#USE_XSS_CHECK
211         */
212        public void setXssCheck( final String flag ) {
213                xssCheck = nval( getRequestParameter( flag ),xssCheck );
214        }
215
216        /**
217         * このオブジェクトの文字列表現を返します。
218         * 基本的にデバッグ目的に使用します。
219         *
220         * @return このクラスの文字列表現
221         */
222        @Override
223        public String toString() {
224                return org.opengion.fukurou.util.ToString.title( this.getClass().getName() )
225                                .println( "VERSION"             ,VERSION        )
226                                .println( "startKey"    ,startKey       )
227                                .println( "value"               ,value          )
228                                .println( "defaultVal"  ,defaultVal     )
229                                .println( "Other..."    ,getAttributes().getAttribute() )
230                                .fixForm().toString() ;
231        }
232}