sql 注入:
1. 前端的入参没有校验,后台拼接sql 语句,l 例:“test”: "shen, 1=1" 可查询出服务的所有数据
2. 前端的入参都是不可信的
3. 后台服务,不允许使用前端的入参(huawei= "hai")直接拼接到sql 中
例:sql = "select * from test_table where"
sql += huawei like "%{}%".fomter(huawei)
方法:
args = dict()
使用占位符的方式来进行参数入参
sql += lower(huawei) like %(huawei)s
args["huawei"] = huawei.lower()