sql >> Database >  >> RDS >> Mysql

mysql PDO en opgeslagen procedure dynamische SQL-injectie

Ja natuurlijk.

Wat als in_var is gelijk aan ' UNION SELECT password from admins -- ?

Om dat te voorkomen, moet u geen vrachtcultus . gebruiken voorbereide verklaring, maar een echte, waarbij uw variabele wordt vervangen door een tijdelijke aanduiding.

SET @query = CONCAT("SELECT * FROM my_table  WHERE my_column = ? LIMIT 1;");

PREPARE stmt FROM @query;
EXECUTE stmt USING @in_var;



  1. Mysql verandert standaard tabeltekenset in databasetekenset

  2. Kan in Rails geen database maken voor {adapter=>postgresql,

  3. Meerdere rijen bijwerken in een enkele MySQL-query

  4. hoe tns-vermeldingen te gebruiken met macromedia-stuurprogramma's voor Oracle