Sql 使用post请求进行搜索是一种不好的做法吗？

-我正在按姓名搜索购物清单。如果名称匹配，则显示数据库中的所有可用项。使用post请求实现搜索是一种不好的做法吗？我已经检查过了，它工作正常，不能注射

-另外一个问题是，如果搜索字段易受sql注入攻击，用户是否有办法删除表

---

提前谢谢

以这种方式编写代码并不是一种不好的做法。另一种选择是使用异步JavaScript，使用返回数据的REST调用。但无论哪种方式，您都将通过web请求访问数据库

如果代码允许SQL注入，则攻击者可以对用于创建连接的用户帐户所允许的数据库执行任何操作，包括可能删除表

---

防止SQL注入的一种常见方法是使用参数化查询构建所有SQL语句，例如使用JDBC或ODBC实现的查询。从头开始构建SQL时要小心。

谢谢，这很清楚。如果我没有错，如果它是可注入的，那么用户可以删除表，只要它是POST请求？GET请求不应该修改数据库，因为它只是获取数据。在REST模型中，GET不应该更新数据库是正确的。但这要由程序员来执行。