Mysql
 sql >> Database >  >> RDS >> Mysql

mysql PDO e stored procedure SQL injection

Sì, naturalmente.

E se in_var è uguale a ' UNION SELECT password from admins -- ?

Per evitarlo, non dovresti usare un culto del carico istruzione preparata ma reale, sostituendo la tua variabile con un segnaposto.

SET @query = CONCAT("SELECT * FROM my_table  WHERE my_column = ? LIMIT 1;");

PREPARE stmt FROM @query;
EXECUTE stmt USING @in_var;