做金融项目安全貌似很重要～

在上线前要做一些渗透测试一类的～

我虽然不是专业的安全测试的～

简单的瞎扯扯也是可以的～

sql注入

貌似是个老生常谈的问题～

虽然目前来说并不是很多,但是由于程序员的代码编写问题，有时候的确还会出很多问题～程序员开发的时候有些时候不注重代码安全就会出现sql注入～

我个人做开发的时候一般都用mybatis～

公司貌似喜欢用 spring template～

当然都差不多～

字符串拼接有时候会造成sql注入～

模糊查询中类'%kk%'这个字符串有些时候程序员喜欢拼接～类似于'%'+'kk'+'%'

在mysql中有个concat函数就可以解决这种字段拼接～

在mybatis的mapper中就可以写作concat（'%'，#｛name｝，'%'）

避免从外部拼接进来～