关键信息 漏洞类型 SQL注入:修复查询接口 参数的 SQL 注入漏洞 受影响文件 15 个文件被修改,代码行数共修改了 143 行(添加 135 行,删除 8 行) 具体文件包括: - - - - - - - - - - - - - - 代码更改内容 引入排序映射:在多个 类中添加了 方法,用于将排序字段映射到 SQL 中安全的字段名,防止 SQL 注入。 移动排序逻辑:将排序逻辑从具体的 类中提取到 类中,实现了 方法,用于处理字段映射。 删除 、 和 :这三个文件被删除,可能是优化或者重构了相关代码。 影响范围 可能在多个查询接口中存在 参数的 SQL 注入风险,此次修复涉及多个业务模块(商品、订单、会员等)。 安全建议 增强输入验证,确保传入的 参数与预定义的字段名匹配,防止 SQL 注入。 在实现排序逻辑时,尽量使用参数化查询语句或 ORM 框架提供的排序功能,减少直接拼接 SQL 语句的风险。