Mysql
 sql >> база данни >  >> RDS >> Mysql

mysql PDO и динамично SQL инжектиране на съхранена процедура

Да разбира се.

Ами ако in_var е равно на ' UNION SELECT password from admins -- ?

За да избегнете това, трябва да използвате не карго култ подготвено изявление, но реално, заместващо вашата променлива с заместител. 

SET @query = CONCAT("SELECT * FROM my_table  WHERE my_column = ? LIMIT 1;");

PREPARE stmt FROM @query;
EXECUTE stmt USING @in_var;



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Mysql Left Join Null резултат

  2. Как да свържа MySQL с Java?

  3. пребройте разликата в датата в часове с помощта на php и mysql

  4. Как да добавя условия в подподподчинените дъщерни модели в sequelize, които трябва да повлияят на моя родителски модел в findAndCountAll?

  5. PHP PDO програмиране на клас:Фатална грешка:Извикване на член функция fetchAll() на булева