Ja natuurlijk.
Wat als in_var
is gelijk aan ' UNION SELECT password from admins --
?
Om dat te voorkomen, moet u geen vrachtcultus . gebruiken voorbereide verklaring, maar een echte, waarbij uw variabele wordt vervangen door een tijdelijke aanduiding.
SET @query = CONCAT("SELECT * FROM my_table WHERE my_column = ? LIMIT 1;");
PREPARE stmt FROM @query;
EXECUTE stmt USING @in_var;