关键信息 漏洞描述 漏洞类型: SQL注入 影响版本: ruoyi-go v2.0.0 和 v2.1.0 漏洞发现者: Duanxianliang 漏洞分析: 该漏洞存在于 接口中,由于参数未经过任何处理或校验,直接拼接到SQL语句中执行,导致SQL注入漏洞。 漏洞代码 漏洞验证 POC: 影响 注册用户的个人敏感数据泄露,攻击者可以删除、篡改和控制用户数据,造成系统瘫痪和扩展。 建议修复方案 使用预编译参数,限制SQL拼接行为到预编译参数初始化阶段,并禁止在未知上下文中使用。 仅允许值范围内的操作(增删改查),只允许“读”和“写”,过滤其他权限。 使用ORM框架提供的查询方法来避免直接拼接复杂的查询字符串和SQL注入风险。 输入的公共参数如 等,需要做有效性检查以防止性能问题或信息泄露。