kingdee-dbapi
blame | 历史 | 原始文档
zhangzengfei
2023-09-01 3c00b78116b561186876eac1f8589366a347a981 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116

package kingdee


 


import (


    "encoding/json"


    "errors"


    "strings"


 


    "kingdee-dbapi/config"


    "kingdee-dbapi/logger"


    "kingdee-dbapi/nsqclient"


)


 


// 通用sql查询接口


 


type SqlQueryMsg struct {


    Key     string // 请求


    Command string


    Success bool


    Message string


    Result  []byte


}


 


func SqlQueryHandle(msg []byte) error {


    var query SqlQueryMsg


 


    if err := json.Unmarshal(msg, &query); err != nil {


        logger.Warn("解析请求失败, err:%s, msg:%s", err.Error(), string(msg))


        return err


    }


 


    var sql = query.Command


    logger.Debug("接收到查询请求,%s", sql)


 


    if !sqlCheck(sql) {


        query.Message = "危险的sql语句, 拒绝执行"


        logger.Warn(query.Message)


    } else {


        result, err := execSqlCommand(sql)


        if err != nil {


            query.Message = err.Error()


            logger.Warn("sql执行失败:%s", query.Message)


        } else {


            query.Result = result


            query.Success = true


            logger.Warn("sql执行完成.")


        }


    }


 


    replyData, _ := json.Marshal(query)


    ok := nsqclient.Produce(config.Options.SqlReplyTopic, replyData)


    logger.Warn("应答查询请求结果:%t, key:%s", ok, query.Key)


 


    return nil


}


 


func execSqlCommand(sql string) ([]byte, error) {


    var result []interface{}


 


    if db == nil {


        return nil, errors.New("数据库未连接")


    }


 


    rows, err := db.Raw(sql).Rows()


    if err != nil {


        return nil, err


    }


 


    var cols []string


    for rows.Next() {


        //先获取所有的column


        if cols == nil {


            cols, _ = rows.Columns()


        }


 


        //建立俩个interface数组,columnPointers中存在columns的地址


        columns := make([]interface{}, len(cols))


        columnPointers := make([]interface{}, len(cols))


        for i := 0; i < len(columns); i++ {


            //赋值地址


            columnPointers[i] = &columns[i]


        }


 


        //扫描结果


        err = rows.Scan(columnPointers...)


        if err != nil {


            return nil, err


        }


 


        m := make(map[string]interface{})


        for i, colName := range cols {


            val := columnPointers[i].(*interface{})


            m[colName] = *val


        }


 


        result = append(result, m)


    }


 


    rb, _ := json.Marshal(result)


 


    return rb, nil


}


 


// 简单过滤下sql语句,拒绝增删改操作


func sqlCheck(sql string) bool {


    var dangerousWords = []string{"INSERT", "UPDATE", "DELETE", "ALTER", "DROP", "DECLARE", "EXECUTE", "EXEC", "INTO", "TRANCATE"}


 


    var upperStr = strings.ToUpper(sql)


 


    for _, word := range dangerousWords {


        if strings.Contains(upperStr, word) {


            return false


        }


    }


 


    return true


}