Mysql
 sql >> Teknologi Basis Data >  >> RDS >> Mysql

mysql PDO dan prosedur tersimpan injeksi SQL dinamis

Ya, tentu saja.

Bagaimana jika in_var sama dengan ' UNION SELECT password from admins -- ?

Untuk menghindarinya, Anda sebaiknya tidak menggunakan kultus kargo pernyataan yang disiapkan tetapi yang asli, mengganti variabel Anda dengan placeholder. 

SET @query = CONCAT("SELECT * FROM my_table  WHERE my_column = ? LIMIT 1;");

PREPARE stmt FROM @query;
EXECUTE stmt USING @in_var;



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Pilih id sisipan terakhir

  2. Bisakah tabel database tanpa kunci utama?

  3. Mengurai tanggal di MySQL

  4. Panjang maksimum nama tabel di MySQL

  5. Kembalikan data dari baris dengan tanggal terbaru dari setiap kandidat_id yang berbeda