MyBatis-Plus orderby存在延迟注入

当前使用版本(必填,否则不予处理)

3.4.3.1

该问题是如何引起的？(确定最新版也有问题再提!!!)

orderby注入字段填写(selectfrom(select+sleep(4)union/*/select+1)a)存在延迟注入

重现步骤(如果有就写完整)

orderby注入字段填写(selectfrom(select+sleep(4)union/*/select+1)a)存在延迟注入

报错信息

查询会相应延迟对应时间

Comment From: WalkFly

这是延迟30s的结果

Comment From: huayanYu

自己处理拦截下，只允许指定字段

Comment From: WalkFly

目前只能先指定字段了

Comment From: qmdx

理论上不建议order by 字段随意传进 sql 执行，针对该问题优化 https://gitee.com/baomidou/mybatis-plus/commit/2ccfa661eb56de1a9c32b4ba9664ab8073680647