假设,使用PHP和MySQL,我准备下面的SQL语句:SQL注入和预处理语句
$statement = $connection->prepare("SELECT departmentName FROM departments WHERE department_type='academic' AND buildingName=?")
- 在buildingName是通过URL的查询字符串传递的(这是验证一个参数,成为绑定)并且department_type是已知参数。
这种风格的准备语句仍然容易受到SQL注入或任何其他SQL攻击?具体来说,是否放置了一个权威参数,在这种情况下department_type,直接放入准备好的语句的命令字符串中一个可能的漏洞?
只有链接的答案应该是评论 –