每个人都知道或应该知道参数化查询有助于防止SQL注入.我见过的所有教程和文档都围绕着使用准备好的SQL查询来处理表单输入.但是什么时候没有任何表格输入?即用户登录后的后续查询,例如$stmt = "SELECT theme_preference FROM users WHERE user_id = '1234'"; $query = mysqli_query($conn, $stmt);
$stmt = "SELECT theme_preference FROM users WHERE user_id = '1234'"; $query = mysqli_query($conn, $stmt);
攻击者是否有可能利用此方法?(假设我正在使用PHP).
php sql security prepared-statement
php ×1
prepared-statement ×1
security ×1
sql ×1