PHPs PDO-Objekt oder STMT-Objekt führt die SQL-Anweisung aus, die die Injektion enthält.
Ein Blick auf das MYSQL-Protokoll ergab, dass nur das zweite einfache Anführungszeichen maskiert wurde.
SELECT * FROM admin WHERE user = '123' oder 1 = 1#'
Verwenden Sie stattdessen C Das native API-Protokoll zum Aufrufen von libmysql.dll in anderen Sprachen sieht folgendermaßen aus: * vom Administrator auswählen, wobei Benutzer = anders ist?
Ist die Vorverarbeitungsfunktion in PHP gekapselt und basiert auf der nativen API von MYSQL?
Eine weitere Aussage von Baidu ist, dass die Vorverarbeitung von PHP eine Pseudoparameterabfrage (Simulationsvorverarbeitung) ist, Baidu jedoch keine Einführungsinformationen zu diesem Aspekt hat
Ist diese Aussage wahr?
Ich hoffe, Gott kann die Verwirrung beseitigen. Nochmals vielen Dank!
php大神,都在研究底层了
虽然听不懂你在说什么,但是感觉好高端的样子