Concernant les problèmes de traitement sous-jacents liés à la prévention de l'injection d'instructions préparées par MySQL
L'objet PDO ou STMT de PHP exécute l'instruction SQL contenant l'injection
En regardant le journal MYSQL, seul le deuxième guillemet simple a été échappé
SELECT * FROM admin WHERE user = '123' ou 1 = 1#'
Utilisez C à la place Le journal de l'API natif pour appeler libmysql.dll dans d'autres langues est comme ceci
sélectionnez * depuis l'administrateur où utilisateur = manière différente ?
La fonction de prétraitement est-elle encapsulée en PHP basée sur l'API native de MYSQL ?
Une autre déclaration de Baidu est que le prétraitement de PHP est une requête pseudo-paramétrique (prétraitement de simulation), mais Baidu n'a aucune information d'introduction sur cet aspect
Cette déclaration est-elle vraie ?
J'espère que Dieu pourra dissiper la confusion. Merci encore !
