做什么会用到
- 01做任何带数据库的产品:搜索、登录、筛选、排序这些地方都可能被注入
- 02用 PHP / 老 Java 项目裸拼 SQL:最容易中招,必须改成参数化查询
- 03用现代 ORM(Prisma / TypeORM / SQLAlchemy / Django ORM):基本免疫,但 raw SQL 处还是要防
- 04做纯前端/纯静态网站:没数据库就没注入
- 05做管理后台/CRM:看似“内部用”但一旦被拿到后台密码,注入损失最大
想用它怎么问 AI
“我的【XXX 产品】用【XXX 数据库 + XXX ORM 或原生 SQL】。请检查我的【这段代码】有没有注入风险、用参数化查询或 ORM 改写一版、并告诉我怎么在上线前批量扫描全项目的注入点。”
打个比方
像在填表里悄悄写一句:“顺便把账本发一份给我。”如果系统不检查就真发了。