🔒 修复命令注入漏洞并增强HTTPS配置

**安全修复：**
- 修复命令执行语法错误（wmic命令字符串拼接）
- 添加驱动器字母验证防止命令注入（仅允许A-Z）
- 修复命令执行参数构造错误

**功能增强：**
- 新增ENFORCE_HTTPS环境变量（强制HTTPS访问）
- 更新.env.example添加ENFORCE_HTTPS配置说明
- 更新install.sh支持自动配置ENFORCE_HTTPS
- 更新脚本自动为现有.env补充ENFORCE_HTTPS配置

这些改进消除了命令注入风险并提供了更灵活的HTTPS策略控制。

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>

backend/.env.example

@@ -18,6 +18,10 @@ PORT=40001
 # 运行环境（production 或 development）
 NODE_ENV=production
 
+# 强制HTTPS访问（生产环境建议开启）
+# 设置为 true 时，仅接受 HTTPS 访问
+ENFORCE_HTTPS=false
+
 # 公开访问端口（nginx监听的端口，用于生成分享链接）
 # 标准端口(80/443)可不配置
 PUBLIC_PORT=80

backend/server.js

@@ -3062,7 +3062,13 @@ app.get('/api/admin/storage-stats', authMiddleware, adminMiddleware, async (req,
       try {
         // 获取本地存储目录所在的驱动器号
         const driveLetter = localStorageDir.charAt(0);
-        const { stdout: wmicOutput } = await execAsync(`wmic logicaldisk where "DeviceID='' + driveLetter + '':''" get Size,FreeSpace /value`, { encoding: 'utf8' });
+        if (!/^[A-Za-z]$/.test(driveLetter)) {
+          throw new Error('Invalid drive letter');
+        }
+        const { stdout: wmicOutput } = await execAsync(
+          `wmic logicaldisk where "DeviceID='${driveLetter}:'" get Size,FreeSpace /value`,
+          { encoding: 'utf8' }
+        );
         
         const freeMatch = wmicOutput.match(/FreeSpace=(\d+)/);
         const sizeMatch = wmicOutput.match(/Size=(\d+)/);