标签: php mysql sql-injection execute
$query = 'SELECT EX1 AS date,rate FROM rates WHERE PARAM1="' . $param1 . '" and param2="' . $param2 . '" ORDER BY date DESC LIMIT 1';
$ param1容易受到SQLI的攻击-但存在一个问题: 查询失败,因为rates不存在-是否可以注入另一个查询,例如: DROP TABLE `users ,查询之后-即使第一个查询执行失败?
rates
DROP TABLE `users
答案 0 :(得分:-1)
您应该使用PDO或mysqli绑定参数。请查看说明PDO或 mysqli