关键信息 漏洞描述 类型: SQL Injection in Geolocation Query 评级: CRITICAL 受影响的组件 文件: laravel/app/Http/Controllers/Front/StoreController.php 行数: 42-46, 73-80 端点: POST /api/v1/front/store/list 认证: Not Required 漏洞代码 概念证明 使用 sqlmap 进行漏洞利用,证明可以获取数据库信息、数据库名、表格名、用户数据等敏感信息。 修复建议 1. 输入验证(推荐) - 验证和清理用户输入,确保经纬度值在合理范围内,防止注入攻击。 2. 查询构建器(最佳实践) - 使用 Laravel 的查询构建器,避免直接在 SQL 查询中使用用户输入,降低注入风险。 3. 抽象层(DRY 原则) - 将地理距离计算逻辑抽离到服务类中,确保代码复用和维护性,同时防止 SQL 注入。