摘要： 用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定，防止 SQL 注入， 禁止字符串拼接 SQL 访问数据库。 反例：某系统签名大量被恶意修改，即是因为对于危险字符 # --没有进行转义，导致数据库更新时，where 后边的信息被注释掉，对全库进行更新。 例子：select 阅读全文

摘要： 公司项目已部署到测试服务器就不行了，一直报路径问题。我看本地windows都可以为什么linux上就不行。搞了好久，配置啊，代码啊，都被我搞了个遍，最后看到路径灵光一闪，想起了一个陈年老知识。linux路径严谨，区分大小写，windows引入文件路径没那么严谨。小错误。。。 阅读全文

摘要： 帮朋友爬取题库，试下可不可以为空，应为我们知道一般简单的查询都是前后加%分号的查，发现有做验证 这时候想到了放%，它那边如果没做验证应该就会变成 like CONCAT('%','%','%')，一试果然查出了十几万条数据，电脑加载了好一会 解决：在进入dao层之前把％bai替换为\\%，(如果是日 阅读全文