NutzCN Logo
问答 Sql sql_r = Sqls.create(sql)
发布于 2555天前 作者 qq_cdc6510d 1655 次浏览 复制 上一个帖子 下一个帖子
标签:

“UPDATE user_info SET sex = 1, email = 'test@qq.com' WHERE uid = '121212'”
经过
Sql sql_r = Sqls.create(sql);
解析错误了。有办法破么?非得用你的Cnd么??

1 回复

把参数直接拼入sql是非常危险的,很容易就被注入了

参数化才是正路

虽然严重不推荐,但@替换成@@就能通过.

添加回复
请先登陆
回到顶部