我在网站上有一个可以过滤和显示任务的ajax搜索功能。我可能希望看到我的任务和其他任务,或者仅仅是我的任务,或者只是其他任务。
我将sql字符串附加在ajax请求传递的参数上。
在服务器端,它看起来像这样https://stackoverflow.com/a/17333371/89211(但显然有适当的卫生处理。)
是否有更好的方法来实现链接答案中显示的相同目的?我在这里简化了这个场景。有许多过滤器可以任意组合使用。我无法想象当使用具有大量选项的搜索和过滤功能时,这就是创建sql的方式。
答案 0 :(得分:0)
为了避免SQL注入攻击并保持可读性,您应该使用参数绑定。