不及格的程序员-八神

摘要： 问：在存储过程内部，根据若干条件而拼接字符串查询参数不需要考虑sql注入吗？ 答： 在存储过程内部，根据若干条件拼接字符串查询参数时，仍然需要考虑防止SQL注入。即使是在存储过程内部，直接拼接字符串来构建查询语句也存在SQL注入的风险。 拼接字符串查询参数时，如果条件中包含用户输入的数据，那么恶意用 阅读全文