本文探讨了在SQL查询中使用预编译参数(?)与直接拼接($)的不同,强调了预编译参数在防止SQL注入攻击方面的重要性。通过一个具体的示例,展示了如何在查询中正确使用预编译参数。
#会进行预编译以?的形式拼接在sql中:
$会直接拼接在sql中如下:
SELECT * FROM xtech_brother_graph_log WHERE action_biz_code = 'teachers_day' and del_flag = "n" and action_type = ? group by target_work_no order by gmt_create desc
扫一扫
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
