mysql 준비문 주입을 방지하는 기본 처리 문제에 대해
PHP의 PDO 개체 또는 STMT 개체는 주입이 포함된 SQL 문을 실행합니다.
MYSQL 로그를 보면 두 번째 작은따옴표만 이스케이프된 것으로 나타났습니다.
SELECT * FROM admin WHERE user = '123' or 1 = 1#'
대신 C를 사용하세요 다른 언어에서 libmysql.dll을 호출하는 네이티브 API의 로그는 다음과 같습니다.
select * from admin where user = 다른 방식?
전처리 기능이 MYSQL의 기본 API를 기반으로 PHP에 캡슐화되어 있나요?
Baidu의 또 다른 진술은 PHP의 전처리가 의사 매개변수 쿼리(시뮬레이션 전처리)이지만 Baidu는 이 측면에 대한 소개 정보가 없다는 것입니다.
이 말이 사실인가요?
하나님께서 혼란을 해결해 주시기를 바랍니다. 다시 한 번 감사드립니다!
