它是否仍然对 SQL 注入开放,因为我们还需要从用户那里获取输入?
问问题
104 次
2 回答
2
我认为您将存储过程与准备好的语句混淆了。
在使用准备好的语句时,您可以参数化传递给语句的值,从而消除通过 SQL 注入实际更改为基本查询结构的能力。
存储过程仍然容易受到注入攻击,具体取决于过程本身内部发生的情况。
于 2013-03-19T15:59:06.000 回答
0
您应该在此处使用 PDO 来保护您的请求
更多信息:http ://www.php.net/pdo
PDO 做出准备好的陈述
于 2013-03-19T16:04:12.587 回答