关键漏洞信息 漏洞描述 类型: SQL注入 版本: ruoyi-go v2.0.1 组件: RestBaseController 文件: 漏洞原因 缺乏对用户输入的过滤和参数限制。 用户输入直接拼接到SQL语句中,导致SQL注入风险。 漏洞代码片段 漏洞验证 POC: HTTP请求示例: 安全建议 严格校验排序参数,限制排序字段为预定义的合法字段列表,禁止使用未知字段。 统一控制排序方向(升序或降序),仅允许"asc"或"desc",过滤其他无效值。 对分页参数进行范围限制,防止因恶意设置过大值导致性能问题或信息泄露。 ``` 这些信息表明该漏洞是由于缺乏对用户输入的有效验证和过滤导致的SQL注入风险。攻击者可以通过构造恶意的SQL语句来执行未授权的操作,如数据窃取、篡改或删除等。