摘要： 上一篇引起不少争议，也是自己没有一次性写完。上回说到邹健大哥的存储过程有漏洞， 有人又提出这个很多都是程序员加上去的，压根就不可能注入，的确，有很多拼凑sql的时候是程序里面加上去的，不是来自外界的“直接”输入。我上次的演示例子是基于的最后的排序，那如果要是在where 条件里面呢？能保证100%都不是来自外界的输入吗？另外，软件的分层开发，很多程序员的水平参差不齐，能保证... 阅读全文