记录一个写SQL语句不好的习惯挖的坑

如果表中字段很多,类型很杂,不要怕麻烦,一定要参数化SQL语句。

拼接SQL语句容易导致SQL注入就不用说了,关键是出了错也不好查出来。

比如我要存一个图片,存在text类型的字段中,不管图片路径做不做加密,传进去的图片路径多少都会带有的符号,而拼接字符串导致了我没有办法处理转义字符,查了半天才查出来是这里的问题,相比一开始就参数化SQL的话,根本也不会发生这样的错误。

猜你喜欢

转载自blog.csdn.net/x15037308498/article/details/83831372