文档建议使用的mysql类会存在sql注入?不是参数化查询吗?
哪里有sql注入?
如果在要查询的字段值后加入sql注入语句,数据库名就暴露出来了,如果执行的sql注入语句为删除数据库。。。。。
你这样写实际上就是组成了一个sql语句,本身并没有防止sql注入。 bindValue或者bindValues才能防止sql注入
哪里有sql注入?
如果在要查询的字段值后加入sql注入语句,数据库名就暴露出来了,如果执行的sql注入语句为删除数据库。。。。。
你这样写实际上就是组成了一个sql语句,本身并没有防止sql注入。
bindValue或者bindValues才能防止sql注入