PHP的PDO对象或STMT对象 执行包含注入的SQL语句
查看MYSQL日志发现只是把第二个单引号转义了
SELECT * FROM admin WHERE user = '123' or 1 = 1#'
而用C和其他语言调用libmysql.dll的原生API 日志是这样
select * from admin where user = X'313233'
处理方式是把参数转换为十六进制
都是预处理 底层处理为何会出现两种不同的方式?
PHP封装的预处理函数是否基于MYSQL的原生API?
百度另一种说法PHP的预处理是伪参数查询(仿真预处理)但是百度这方面没什么介绍资料
这种说法是否属实?
希望大神可以解惑 小弟再次谢过!
