SQL字符串拼接问题

发布网友发布时间：2022-04-07 22:29

共3个回答

懂视网时间：2022-04-08 02:50

现在大家来学习下sql是如何注入的,传统的拼接字符串会造成

注入形式就是在变量那使用《1=1》这样查询无论怎样都是正确的

-- var sql = "select name from person where name=‘"+
 1=1+"‘";

//不建议的写法

var sql = "select name from person where name=‘"+username+"‘";
 connection.query(sql,function(err,rows,fields){

}

//建议的写法

var columns = ‘name‘;
var username = ‘yudi‘;
var sql = "select ?? from person where name=?";
 connection.query(sql,[columns,username],function(err,rows,fields){

}

sql传统的拼接带来的危害

标签：

热心网友时间：2022-04-07 23:58

1、@sql定义的长度不够
2、打印@sql时加上括号如 print (@sql)

热心网友时间：2022-04-08 01:16

你@sql定义得不够长吧