存储过程在这样的情况下还能防sql注入吗?
骄傲青蛙 2009-09-26 12:04:50
-- 一般来说, 都把传入的参数当字符串处理,
create procedure ...
in _field varchar(100),
in _table varchar(100),
...
...
SET @strSql = CONCAT('SELECT ',_field,' FROM ',_table);
PREPARE stmt FROM @strSql;
EXECUTE stmt;
DEALLOCATE PREPARE stmt;
...
-- 这样的情况下还能防注入吗?
-- 用CONCAT连起来, 好像在执行一个字符串. .