好的,我现在已经进行了一段时间的网络开发,我对PDO和SQL注入有一些疑问。我们都知道SQL注入是一个可怕的漏洞,我们都希望避免它们的基本功能。我知道SQL注入最常见的方法是使用'在打破查询的数据中, 如臭名昭着:
' or '1'='1
我有时会变懒,通常我的PDO SQL查询最终会像这样:
SELECT * FROM users WHERE id = ?
(然后我绑定到$_GET['id']或者其他东西)
现在注意我在查询中的任何地方都没有使用`或',SQL注入仍然可能在准备好的语句之后?准备好的陈述究竟停止了什么?谢谢!