はい、もちろん。
in_var
の場合はどうなりますか ' UNION SELECT password from admins --
?
これを回避するには、カーゴカルトを使用しないでください。 プリペアドステートメントですが、実際のステートメントであり、変数をプレースホルダーに置き換えます。
SET @query = CONCAT("SELECT * FROM my_table WHERE my_column = ? LIMIT 1;");
PREPARE stmt FROM @query;
EXECUTE stmt USING @in_var;