2017年4月19日
(记录)mysql分页查询,参数化过程的坑
摘要: 在最近的工作中,由于历史遗留,一个分页查询没有参数化,被查出来有sql注入危险,所以对这个查询进行了参数化修改。 一看不知道,看了吓一跳,可能由于种种原因,分页查询sql是在存储过程中拼接出来的,where之后的条件也是在代码中先进行拼接,然后作为整体参数在传入存储过程里,在存入过程里又进行一次拼接 阅读全文
posted @ 2017-04-19 10:52 Roman-li 阅读(3896) 评论(1) 推荐(0) 编辑