除了阻止它的過程之外,我對於SQL注入一無所知。SQL注入雖然使用綁定/準備語句?
我想知道,如果攻擊者修改我從準備好的聲明:
$DB = $Con->prepare("SELECT * FROM Test WHERE username=?");
$DB->bind_param('s',$Username);
$DB->execute();
他進入了他的說法是:
x' DROP TABLE Test
如何將綁定/準備的語句處理此請求?
它會返回一個錯誤還是繼續?因爲bind_param
將特定值鏈接到所述SQL語句?
爲什麼不自己嘗試一下呢? – Kermit
http://stackoverflow.com/q/8263371/285587 –