摘要：sql注入是大家基本都清楚，一般来说用参数化就能解决注入的问题，也是最好的解决方式。 有次技术群里问到一个问题，如下图 很显然tableName是外部传递过来的，暂时不考虑具体的业务环境，但如果以select from @table 把表名称当参数肯定是不能执行的，如果是拼接sql会有注入的危险。那 阅读全文