sql where 语句，类似 and a1 in ('1','2')，怎样传参

风寒晓 2016-09-26 05:45:50

如图所示，现在前端界面有几十个查询字段，无法使用参数化查询，所以想直接拼接成SQL查询字符串。
但因为查询语句里有很多
= '' () 这样的特殊字符，所以想请教各位大神，这样的情况应该如何使用ajax 传参呢。

...全文

544 4 打赏收藏转发到动态举报

写回复

4 条回复

切换为时间正序

请发表友善的回复…

发表回复

风寒晓 2017-01-06

引用 3 楼 showbo 的回复:

你服务器端要再次验证数据有效性，要不就留下sql注入漏洞了

谢谢，在服务器端先验证referrer，然后正则去过滤。

你服务器端要再次验证数据有效性，要不就留下sql注入漏洞了

风寒晓 2016-09-27

引用 1 楼 KK3K2005 的回复:

in（。。。）这个结构你不觉得很像一个数组

感谢，一语点醒梦中人，用JSON 传递，然后在服务器端就可以使用参数化查询，更加安全。 { "page": 1, "a1": [ 1, 2 ], "a2": [ 1, 2, 3 ] }

KK3K2005 2016-09-26

in（。。。）这个结构你不觉得很像一个数组

52,797

社区成员

25,305

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

加载中

社区公告

暂无公告

试试用AI创作助手写篇文章吧