数据库函数改造

上个月的一个周三晚上，我亲眼看着一条带SQL注入的查询把整张订单表拖垮了。攻击者根本没有用什么高级手法，只是在登录框的用户名里拼了一段 ' OR 1=1; DROP TABLE orders; — 的变种，而我们那个跑了八年、几乎没人碰过的用户查询函数，老老实实地把它拼接进了SQL语句。数据库告警、业务中断、凌晨两点全团队上线修数据，那场狼狈的背后藏着一个极其朴素的事实：绝大部分SQL…