sql注入sql匹配查詢

Question

這個查詢是否可以使用sql注入破解？

SELECT count(*) FROM mytable_fts where mytable_fts match ? 

例如

SELECT COUNT（*）FROM mytable_fts其中mytable_fts比賽 「一」

我使用

SELECT count(*) FROM mytable_fts where mytable_fts match "a" OR 1==1 

嘗試，但因爲它是因爲它會沒工作匹配參數。

可以任何機構給這個查詢SQL注入的例子？

Answer 1

與注入本身相比，SQL注入漏洞與查詢的構建方式有關。如果你使用查詢變量而不是字符串連接，你會沒事的。如果你使用字符串連接，那麼任何帶參數的查詢都是脆弱的。