使用laravel 进行开发的,我挺相信框架的安全细节的。
在维护前任写的代码时,被测出sql注入了。代码乍一看,确实不够框架格式,但确实是用到 ?预绑定,剩余的$name也确实是原始sql拼接,那么如何针对like 语句进行预绑定呐?
如图
Mysql数据库
str = "and indexNum like concat('%',?,'%')"
Oracle
str = "like '%' || ? || '%'"
SQL Server
str = "like '%' + ? + '%'"