将用户传入的数据作为参数,使用字符串拼接的方式插入到 SQL查询中

SQL防御

验证输入类型

例如:根据 ID查询数据,那么变量必须是整型
egg-validate校验参数

转义字符

例如,引号,分号,横线,在执行CRUD前都要进行转义