In Bezug auf die von MySQL vorbereitete Anweisung Anti-Injection zugrunde liegende Verarbeitungsprobleme
PHPs PDO-Objekt oder STMT-Objekt führt die SQL-Anweisung aus, die die Injektion enthält.
Ein Blick auf das MYSQL-Protokoll ergab, dass nur das zweite einfache Anführungszeichen maskiert wurde.
SELECT * FROM admin WHERE user = '123' oder 1 = 1#'
Verwenden Sie stattdessen C Das native API-Protokoll zum Aufrufen von libmysql.dll in anderen Sprachen sieht folgendermaßen aus: * vom Administrator auswählen, wobei Benutzer = anders ist?
Ist die Vorverarbeitungsfunktion in PHP gekapselt und basiert auf der nativen API von MYSQL?
Eine weitere Aussage von Baidu ist, dass die Vorverarbeitung von PHP eine Pseudoparameterabfrage (Simulationsvorverarbeitung) ist, Baidu jedoch keine Einführungsinformationen zu diesem Aspekt hat
Ist diese Aussage wahr?
Ich hoffe, Gott kann die Verwirrung beseitigen. Nochmals vielen Dank!
