Учитывая это MySQL хранимые процедуры:Возможная инъекция SQL, удаляющая таблицу с хранимой процедурой?
CREATE PROCEDURE customer.`getCustomers5`(
sdf varchar(1000)
)
BEGIN
set @se = concat('select * from customer.customertbl where id=', sdf);
PREPARE stm1 from @se;
EXECUTE stm1;
END;
Можно ли делать инъекции SQL в эту процедуру магазина, даже если передний конец, который называется эта хранимая процедура использует PDO параметр/привязки данных?
Прежде чем вызывать его, мне нужно создать запрос динамически (предложение dynamic where).
Если это возможно сделать SQL-инъекцию, есть ли способ противостоять этой проблеме?
http://stackoverflow.com/questions/60174/best-way-to-stop-sql-injection-in-php. Короче говоря, PDOs вы должны быть в безопасности. aaand http://php.net/manual/en/pdo.prepared-statements.php –
@SergeyBenner, похоже, у вас нет вопроса. –
-1 для запроса неопределенного вопроса, который получается «нет, я не имел в виду, что код совершенно другой». –