Closed
Description
这种漏洞应该在调用方通过正则或者白名单处理,有些人的需求会用到函数等各种复杂排序,因此分页插件不做校验。
如果你从前端传递一个 SQL 用 JDBC 原生方式执行,你是不是发现了一个天大的漏洞?
如果JDBC不做处理,是不是就不用 JDBC 了?
如果这个漏洞会影响你们项目选择分页插件,可以在当前 issues 留言,如果留言人数很多,下个版本可以把 order by 功能去掉。
影响所有版本?瞎写!!!
下面是和排序有关的更新日志。
3.6.0 - 2015-02-03
- PageHelper增加了startPage(int pageNum, int pageSize,String orderBy)方法(3.7.0版本以后,移除了该方法),针对sqlserver
3.7.0 - 2015-04-21
- 由于orderby参数经常被错误认为的使用,因此该版本全面移除了orderby
Page<E>移除orderby属性- PageHelper的startPage方法中,移除包含orderby参数的方法,sqlserver相关包含该参数的全部移除
4.0.0 - 2015-07-13
- 可以单独使用PageHelper.orderBy(String orderBy)对查询语句增加排序,也可以配合startPage的其他方法使用
- 可以使用PageHelper.startPage(int start,int size,String orderBy)对分页查询进行排序
5.0.0 - 2017-01-02
- 去掉了不适合出现在分页插件中的 orderby 功能,以后会提供单独的排序插件
5.1.0 - 2017-08-28
- 增加 4.x 以前版本包含的排序功能,用法一致(PageHelper增加了几个排序相关的方法)
现在有人乱用还提交漏洞,近期会简单处理 order by
Metadata
Assignees
Labels
No labels