因为各种现代话框架的流行,SQL 注入的威胁相对已经减少很多。但是在看不见的角落,还是存在SQL注入的威胁。
SQL 预处理可以解决绝大部分 SQL 注入问题,但是有些地方不能预处理,或者需要变通的方式处理这些问题。
比如表名/列名/排序动态传入的场景,这些地方不能预编译,因此很多人还是直接拼接的,而没有有效过滤。还有 LIKE语句/IN语句中,因为这两个地方的预编译写法都有些特殊,比如 WHERE IN 常常使用 FIND_IN_SET 函数代替。
修改时间 2022-11-30
真诚赞赏,手留余香
赞赏
