2021 年为啥还有公司前端使用 SQL 拼接参数

后端表示参数拼接成 SQL 接收，真的服了，就不怕 SQL 注入吗

jack778

2021-04-29 10:35:48 +08:00

复制黏贴，能跑就行

buffzty

2021-04-29 10:36:01 +08:00

2021 年了为啥还有程序员天天编程写 bug 啊?

Mr0C

2021-04-29 10:37:19 +08:00

常见的安全问题都不 care 吗

jk1030

2021-04-29 10:42:37 +08:00

2B 的产品有时候 sql 拼接参数是 feature

PDX

2021-04-29 10:43:45 +08:00

你去看看事业单位用的办公系统

statement

2021-04-29 10:45:46 +08:00

后端校验啊。前端只有约定好格式就行。和前端有什么关系。你只要约定好前端 delete 。后端当 select 用也行啊

watcher

2021-04-29 10:48:29 +08:00

sql 作为描述语言，谁规定一定就是用来操作数据库的？用来操作搜索引擎不可以吗？

panda666

2021-04-29 10:49:46 +08:00

sql 和前端有毛的关系

mengdodo

2021-04-29 10:56:17 +08:00

@panda666 还真有，那个前两年兴起的前端 sql 技术，后端只需要约定接口通往数据层的表模型，前端自己调 sql 读写，我忘记叫什么了。我一直觉得不靠谱……

zjsxwc

2021-04-29 10:56:28 +08:00

我记得老项目 CS 架构的都是直接客户端传 SQL，
服务端搞个 sql parser 就知道这条客户端提交的 sql 是否有权限。

no1xsyzy

2021-04-29 11:06:02 +08:00

https://data.stackexchange.com/
https://www.opendota.com/explorer
不怕注入吗？

@mengdodo 这也不是前端，这是 API 。同样一个 HTTP API，另一个后端程序也可以调用。
前端是 UI 到 API 中间的东西（不管它的技术手段是啥）

KouShuiYu

2021-04-29 11:15:08 +08:00

https://carto.com/
这个公司为每个用户新建一个数据库

bthulu

2021-04-29 11:18:08 +08:00

怕什么注入, 法院重拳出击就行了

darknoll

2021-04-29 11:38:32 +08:00

这能怪前端？？你后端干嘛吃的

yaphets666

2021-04-29 11:45:34 +08:00

现在有种东西叫 graphql，类似

opengps

2021-04-29 12:04:40 +08:00

能这么做的项目显然确实没啥用户量，甚至说是自己给自己用。对于注入这种事，小公司不遇到是不会去防的

Cbdy

2021-04-29 12:07:03 +08:00

老板：又不是不能用

phobal

2021-04-29 12:29:56 +08:00

@mengdodo 你是想说 graphQL 么，这个可跟直接拼 SQL 不一样哦

ijrou

2021-04-29 12:36:28 +08:00

老板：能用为啥还这么讲究？

mypchas6fans

2021-04-29 12:39:56 +08:00

告诉各位我曾经呆过的某公司，近两年做的一个模块，名曰 xxx risk analysis，
卖点是分析业务相关的指标和风险点，具体怎么做的呢？
业务人员默认准备了一堆 SQL，可以根据需要在页面上微调，然后发到后端执行，结果再存到特定表里，前端做成报表，给客户大佬看……

实际上就是个 xxx sql analysis……

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/774017

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.