哪個報表工具能抵擋 SQL 注入攻擊

首先，要知道報表為啥會出現 SQL 注入攻擊。所有的報表工具都會提供引數功能，主要用於使用者輸入條件後的資料篩選，固定條件不夠，還要求更靈活，因此通用查詢又出現，允許動態拼 SQL，隨之而來的就是 SQL 注入的風險了。
那麼如何避免？簡單來講，安全第一，只要不支援拼 SQL 做靈活條件就行了，但這樣犧牲了產品能力，開源產品就是這樣，想做也只能自己硬編碼拼 SQL 來做靈活查詢。
另外，有些報表工具只提供拼 SQL 實現靈活條件的方案，但沒考慮規避 SQL 注入風險，是很危險的。

潤乾報表在這方面考慮的就很全面（目前不清楚是不是有其他廠家能做到），提供拼 SQL 實現靈活條件的同時，還提供了敏感詞監測功能，當引數中出現這些敏感詞的時候，程式就會主動丟擲錯誤提示，報表中斷執行、抵擋住可疑攻擊，並且都做了封裝，操作起來很容易，只需要在配置檔案配置好要規避的敏感詞（或特殊關鍵字）就可以了。

xml 檔案配置項如下：
禁用引數值透過 "disallowedParamWordList" 屬性，多值用逗號隔開列出。更詳細的說明可參考 報表的 SQL 植入風險及規避方法。

總的來說，絕大報表工具都可以做到抵擋 SQL 注入，但簡便性或產品完善度一對比就很清楚。另外，不能因為方法簡便、產品完善就貴，還要考慮產品價效比，潤乾報表兼具開源和商用的優勢，有商用報表工具的所有功能（甚至更完善），且價格非常便宜，不論從功能還是技術支援等方面，其擁有成本比開源產品還低。