phpパラメータ化されたクエリ

インジェクションを学習していたときに、MetInfo cms にインジェクション ポイントが表示されました。

$show = $db->get_one("SELECT * FROM $met_column WHERE id=$id and module=1");

これを見たとき、パラメータ化だと勘違いしました。 。パラメータ化により注入が妨げられる場合がありますが、なぜ注入ポイントがあるのでしょうか?

この発見については後ほど詳しく説明します。いわゆるパラメータ クエリは、プログラム レベルのパラメータを参照するのではなく、データベース インターフェイスのパラメータ化を参照します。 形式:

fetch_one('select * from user where name=?', @name)

php のパラメーター クエリを使用すると、インジェクションの防止を実現できます。

PHP のパラメーター化されたクエリの情報について学ぶことができます

• SQL インジェクションを防ぐためにパラメーター化されたクエリを使用します
• PHP でのパラメーター化されたクエリの使用