Oracle 存储过程 字符串拼接 SQL注入的问题
之前项目中写的一个大的存储过程 中间用到的SQL字符串拼接的方法 来完成业务的流程 类似SQL的动态拼接把
为什么要有用到这种形式 因为我这个存储过程里面要处理 至少三个系统的六种情况 所以使用拼接的方式是最容易想到的
存储过程大概意思 先将查询到的数据存放到临时表中 然后再对临时表的数据做遍历,这里不说这个了
直接正题: (以对数据做处理) 之前都是这样直接写的
但是这有个严重的问题 就是用字符串拼接的方法实现的sql , 如果传入的参数 是非法的 如(or ' 1=1 --)很...
原创
2021-02-03 10:47:50 ·
1199 阅读 ·
2 评论