我来自Oracle世界,我可以使用DBMS_SQL来获取具有未知数量的绑定变量的动态SQL。显然这在MySQL中是不可能的。所以我的问题是如何防止MySQL中的SQL注入?我认为这很容易查找,但我找到的每个例子都是PHP& MySQL的。我只处理MySQL存储过程,没有PHP。这是一个片段:
set @sql_string=concat(@sql_string,'col1=''',someRandomText,''' where col2=''',moreRandomText,''';');
是否有可以应用于someRandomText以防止SQL注入(http://bobby-tables.com/)的保护功能?
谢谢!