关键漏洞信息 漏洞概述 类型: SQL注入 位置: Student Result Manager 应用程序 原因: 通过字符串拼接构建SQL语句时使用了不可信的输入(如 , , 和 ),并直接使用 执行。 严重性 级别: 严重 CWE编号: CWE-89 (SQL Injection) CVSS v3.1评分: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) 影响组件 文件: 脆弱模式: 使用字符串拼接构建SQL语句(例如, )并通过普通 而非参数化查询或 执行。 漏洞细节 应用程序通过直接将用户提供的值拼接到SQL字符串中来构造INSERT和UPDATE SQL语句,然后使用 执行。当用户输入未经过适当参数化或清理直接嵌入到SQL中时,攻击者可以注入SQL元字符和子句以改变查询语义。 易受攻击的代码行(摘录) 利用载荷示例