April 11, 2022
Django 4.0.4修复了严重程度“高”的两个安全问题和4.0.3中的两个错误。
QuerySet.annotate()
, aggregate()
,以及 extra()
¶QuerySet.annotate()
, aggregate()
,以及 extra()
方法受到列别名中的SQL注入的影响,使用适当构造的字典,并带有字典扩展,因为 **kwargs
传递给这些方法。
QuerySet.explain(**options)
关于PostgreSQL¶QuerySet.explain()
方法受到选项名称中的SQL注入的影响,该方法使用适当构造的字典并带有字典扩展,因为 **options
争论。
7月 22, 2024