sql传统的拼接带来的危害

现在大家来学习下sql是如何注入的,传统的拼接字符串会造成

注入形式就是在变量那使用《1=1》这样查询无论怎样都是正确的

-- var sql = "select name from person where name='"+
 1=1+"'";

  

//不建议的写法

var sql = "select name from person where name='"+username+"'";
    connection.query(sql,function(err,rows,fields){

}

 

//建议的写法

var columns = 'name';
var username = 'yudi';
var sql = "select ?? from person where name=?";
    connection.query(sql,[columns,username],function(err,rows,fields){

}
【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/rainheader/p/4580830.html