SQL 일치 쿼리에서 SQL 주입

Question

SQL 주입을 사용하여이 쿼리를 해킹 가능합니까?

SELECT count(*) FROM mytable_fts where mytable_fts match ? 

예를

SELECT COUNT (*) mytable_fts 어디에서 mytable_fts 일치 "A"

내가

SELECT count(*) FROM mytable_fts where mytable_fts match "a" OR 1==1 

를 사용하여 시도

하지만이 같은가는대로 일을하지 않았다 일치 매개 변수

모든 본문에서이 쿼리에 대한 SQL 주입 예제를 제공 할 수 있습니까?

Answer 1

SQL 삽입 취약점은 쿼리 작성 방법보다 쿼리 자체와 관련이 적습니다. 문자열 연결 대신 쿼리 변수를 사용하면 문제가 없습니다. 문자열 연결을 사용하면 매개 변수가있는 모든 쿼리가 취약 해집니다.