刚上线个功能，测试同事拿SQL注入扫了一波，直接给我干出一身冷汗[流汗]... 参数没做预编译处理，用户输入框居然能塞进

UX-誉馨Lv1 2026-02-28 19:50:20

刚上线个功能，测试同事拿SQL注入扫了一波，直接给我干出一身冷汗... 参数没做预编译处理，用户输入框居然能塞进' OR '1'='1，差点把数据表掀了。现在老老实实改用参数化查询+输入过滤，连空格和分号都给ban了。说真的，这年头还敢信前端传来的数据？我真是飘了现在每次写SQL都像拆炸弹，手抖得不行...

反馈