PostgreSQL
 sql >> Base de données >  >> RDS >> PostgreSQL

L'instruction préparée pg_prepare() (pas PDO) empêche-t-elle l'injection SQL ?

Une instruction préparée est à l'abri de l'injection SQL car personne ne peut modifier le plan de requête après c'est préparé. Mais, si votre instruction est déjà compromise, vous souffrez toujours d'injection SQL :

<?php 
// how NOT to construct your SQL....
$query = 'SELECT * FROM user WHERE login=$1 and password=md5($2) LIMIT '. $_POST['limit']; -- injection!
$result = pg_prepare($dbconn, "", $query);
$result = pg_execute($dbconn, "", array($_POST["user"], $_POST["password"]));
if (pg_num_rows($result) < 1) {
  die ("failure");
}
?>