普通mysql準備語句防止注入攻擊？

Question

大家都知道，PDO準備語句可以幫助我們防止SQL注入攻擊。這個怎麼樣：

function userQuery($username){ 
    $mysqli->multi_query(" 
     PREPARE stmt1 FROM 'SELECT * FROM user WHERE username=?'; 
     SET @a = '$username'; 
     EXECUTE stmt1 USING @a 
    "); 
} 
userQuery('Kelvin'); 

這是像mysqli或PDO準備聲明一樣安全嗎？

我問這個問題，因爲我發現這些句子上wiki：

預處理語句是對SQL注入彈性，因爲參數值，它們使用不同的協議進行傳送，不需要正確轉義。如果原始語句模板不是從外部輸入派生的，則SQL注入不會發生。

他們提到約parameters are transmitted later with different protocol。我並不真正瞭解 這個。

parameters are transmitted later with different protocol如何防止注射攻擊？

Answer 1

[我假設你的意思$ mysqli的是mysqli的連接。]

雖然stmt1的執行（最後的三個查詢）是安全的，你寫的多查詢功能是非常不安全的。運行類似

userQuery("'; delete from user; select * from user where username='"); 

實際上會從您的用戶表中刪除所有用戶。假設$ username表示沒有正確轉義的原始用戶輸入，後果可能是災難性的。

你可以使用mysqli :: real_escape_string來改進上面的內容並自己進行轉義，但是有很多更復雜的方法可以完成上面的黑客攻擊。準備好的陳述都是更好的解決方案。