漏洞关键信息 漏洞描述 漏洞类型: SQL Injection 影响版本: 1.2.28 修复版本: 1.2.29 漏洞等级: 中等(CVSS v3 基本度量:4.3/10) 漏洞细节 受影响文件: 具体位置: 和 问题: 参数在 函数中被直接拼接到 SQL 查询中,而未进行充分过滤。 代码示例 在 中: 过滤器分析 函数只是过滤了一些符号,但未对字符串进行引号包裹。 参数 未被适当过滤,可直接插入 SQL 查询。 PoC (概念验证) URL: 结果: 设置 为 或 将满足 条件,导致所有结果被返回。 修复建议 对输入参数进行严格的校验和过滤。 使用参数化查询防止 SQL 注入。