CVE-2021-35042：通过未净化的 QuerySet.order_by() 输入潜在的 SQL 注入

传递给 QuerySet.order_by() 的未经处理的用户输入可能会绕过标记为弃用的路径中的预期列引用验证，从而导致潜在的 SQL 注入，即使发出弃用警告也是如此。

作为缓解措施，在弃用期间恢复了严格的列引用验证。 这个回归出现在 3.1 中，作为修复 :ticket:`31426` 的副作用。

由于已删除不推荐使用的路径，因此主分支中不存在该问题。