标签: mysql sql sql-injection
它是否仍然对SQL注入开放,因为我们还需要从用户那里获取输入?
答案 0 :(得分:2)
我认为您将存储过程与准备好的声明混淆。
在使用预准备语句时,您可以参数化传递给语句的值,从而无法通过SQL注入实际更改为基本查询结构。
存储过程仍然容易受到注入攻击,具体取决于过程本身内发生的情况。
答案 1 :(得分:0)
您应该使用PDO来保护您的请求 更多信息:http://www.php.net/pdo
PDO制作预备陈述