sql >> データベース >  >> RDS >> Mysql

mysqlPDOおよびストアドプロシージャの動的SQLインジェクション

    はい、もちろん。

    in_varの場合はどうなりますか ' UNION SELECT password from admins --

    これを回避するには、カーゴカルトを使用しないでください。 プリペアドステートメントですが、実際のステートメントであり、変数をプレースホルダーに置き換えます。

    SET @query = CONCAT("SELECT * FROM my_table  WHERE my_column = ? LIMIT 1;");
    
    PREPARE stmt FROM @query;
    EXECUTE stmt USING @in_var;
    



    1. DriverManagergetConnectionの接続タイムアウト

    2. MySQL:=true対BOOLEANではtrue。いつ使用することをお勧めしますか?そして、どちらがベンダーに依存していませんか?

    3. Microsoft SQL Server2012のクエリがJDBC4.0で数分かかるのに、Management Studioでは1秒かかるのはなぜですか?

    4. 2つの特定の製品を注文した顧客を見つけるためのMySQLクエリ