使用pg_escape_literal PHP 函数,我正在转义我的用户输入数据,如下所示:
<?php
$dbconn = pg_connect('dbname=foo');
$escaped = pg_escape_literal($_GET['name']);
pg_query("INSERT INTO participants (name) VALUES ({$escaped})");
?>
作为 PostgreSQL 新手,我的问题是:
- 给定这段代码,有没有办法实现 SQL 注入?
- 此代码中是否还有其他未处理的漏洞?
使用 PHP 5.4 和 PostgreSQL 9.2。