关键信息 漏洞类型: SQL注入漏洞 受影响系统: Shikong Zhiyou ERP 的 sqlresult 接口 系统指纹状态: 系统指纹状态显示有超过一千个用户在全网使用该系统。 漏洞分析: - 在 类中存在一个接收外部参数 "sql" 的方法 。 - 外部传递的 SQL 参数直接在此处执行,导致 SQL 注入。 - 构造器中的 参数是一个 JSONObject,需要嵌入额外的键值对。 示例代码片段 setFieldValue 方法 getFieldValue 方法 注意事项 在构造器中, 参数作为一个 JSONObject,需要嵌入额外的键值对。