今天修接口的时候又看到有人在参数里拼接SQL，真是服了...明文传id就算了，居然还用字符串拼接查询语句，这不纯纯给黑客递刀子吗？我都想直接截图发群里。现在都这年头了，怎么还有人不用预编译语句啊，Parameterized Query真的有那么难吗？连ORM都懒得搭的话，至少把输入过滤做好吧？比如用户搜索框那种地方，特殊字符转义一下能死啊？昨天就发现一个注入点，payload一打，直接把users表拖出来了…。以后审查代码我得拿红笔标出来，谁再这么写，让他请我喝奶茶