我竟然不知道SELECT * FROM user WHERE user='root' AND password=0 這樣會過0rz 不過他有單引號加上去就沒效了

讚喔！有註解嗎？

davidou123: 問題在簡報的下一頁，當大量的 ORM , Framework 使用時，Mass Assignment 會讓你沒有機會 quote 單引號。 如果資料是來自 XML 或 JSON 我故意給你 integer type ?

yllan: 請問什麼註解？

不好意思，因為我 DB 只會最基本的 CRUD，所以 schema 那邊看不太懂。Per User Schema 和 Per App 有什麼差別呢？schema 是定義 table 長相的資料對吧？那和 search_path 有什麼關係呢？ <(_ _)> 問了蠢問題還請見諒

racklin: 受教了 下次測試安全性時會多加上這一項 <(_ _)>

我超需要這個

yllan: PostgreSQL schema 不是您認知的 table DDL 。反而是比較接近 Database 的概念。

感謝指教！