假設,使用PHP和MySQL,我準備下面的SQL語句:SQL注入和預處理語句
$statement = $connection->prepare("SELECT departmentName FROM departments WHERE department_type='academic' AND buildingName=?")
- 在buildingName是通過URL的查詢字符串傳遞的(這是驗證一個參數,成爲綁定)並且department_type是已知參數。
這種風格的準備語句仍然容易受到SQL注入或任何其他SQL攻擊?具體來說,是否放置了一個權威參數,在這種情況下department_type,直接放入準備好的語句的命令字符串中一個可能的漏洞?
只有鏈接的答案應該是評論 –