django-3.1.13下载地址 首先调用order_by函数的位置：django/db/models/query.py 函数做了两件事，一是清除当前所有的通过order_by函数调用的方法，也就清除Query类中的self.order_by参数。第二件事就是增加self.order_by参数 跟进add_ordering函数django/db/models/sql/query.py 这里

漏洞描述 Django 于 2021年7月1日发布了一个安全更新，修复了函数QuerySet.order_by中的 SQL 注入漏洞。 参考链接： Django security releases issued: 3.2.5 and 3.1.13 | Weblog | Django 该漏洞需要开发人员使用order_by功能。此外，还可以控制查询集的输入。 漏洞环境及利用 搭建dock