摘要:
sql注入一般都是会有一些特殊字符的,后端拿到这个参数,一定是字符串类型。那么在处理的时候就以这个为突破点:1. 判断数据类型,像是int,boolean,浮点型等,直接传入用户传来的参数,很容易出问题, 执行之前可以先判断数据类型是否正确,不正确直接报错,不再执行 a = '1 or 1=1' b 阅读全文
摘要:
记一下今天遇到的问题 1. float用=匹配不到结果 sql: select * from table1 where low=74.9 # 这个sql查不到结果,但是实际上数据库里面有,low是float类型 将low字段换成decimal类型,就可以查出来结果原因: float类型存在误差,不能 阅读全文