報表工具的 SQL 植入風險

所有的報表工具都會提供參數功能,主要都是用於根據用戶輸入的查詢條件來選取合適的數據。比如希望查詢指定時間段的數據,就可以把時間段作爲參數傳遞給報表,報表在從數據庫中取數時將這些參數應用到取數 SQL 的 WHERE 條件上,就可以根據不同參數取出不同數據來呈現了。不過,這樣做要求事先把查詢條件的規格做死,比如按時間段查詢,那就要事先把 WHERE 寫成 date>=? AND date<=? 的形
相關文章
相關標籤/搜索