在sqlmap中如果在中指定传入的参数num为long型那么在select语句中的限定条件WHERE num=$num$此时用$符号存不存在sql注入的问题
存在,可以注入 “1 or 1=1”就变成 where num=1 or 1=1 这样就查出所有记录了
不存在查询条件变成了num='1 or 1=1' 查不到值的。
如果是拼接字符串会出现sql注入,占位符的方式都没问题
使用占位符不会存在sql注入