$sql = "select col1, col2, col3 from t1 order by date desc limit 500"
没有地方可以绑定任何东西,所以我需要(以及如何)做一个准备好的语句吗?
另一个例子:
$sql = "select col1 from t1 where col1 = 'val1' order by date desc"
如果将此代码放置在html输出之前 之前(加载页面时,没有任何用户输入值),我是否需要准备好的语句?
我想如果尚未与用户进行任何交互,则不可能进行sql注入。
答案 0 :(得分:1)
如果查询不期望用户提供参数,则不需要准备语句。